I criminali informatici stanno vendendo l'accesso alle telecamere di sorveglianza cinesi

New riparazioni indica che oltre 80,000 telecamere di sorveglianza Hikvision nel mondo oggi sono vulnerabili a un difetto di iniezione di comando di 11 mesi.

Hikvision, abbreviazione di Hangzhou Hikvision Digital Technology, è un produttore statale cinese di apparecchiature di videosorveglianza. I loro clienti abbracciano oltre 100 paesi (inclusi gli Stati Uniti, nonostante la FCC abbia definito Hikvision "un rischio inaccettabile per la sicurezza nazionale degli Stati Uniti" nel 2019).

Lo scorso autunno, un difetto di iniezione dei comandi nelle telecamere Hikvision è stato rivelato al mondo come CVE-2021-36260. L'exploit ha ricevuto un punteggio "critico" di 9.8 su 10 dal NIST.

Nonostante la gravità della vulnerabilità, e dopo quasi un anno di questa storia, oltre 80,000 dispositivi interessati rimangono privi di patch. Da allora, i ricercatori hanno scoperto "più istanze di hacker che cercano di collaborare allo sfruttamento delle telecamere Hikvision utilizzando la vulnerabilità dell'iniezione di comandi", in particolare nei forum russi del dark web, dove le credenziali trapelate sono state messe in vendita.

L'entità del danno già fatto non è chiara. Gli autori del rapporto potrebbero solo ipotizzare che “gruppi di minacce cinesi come MISSION2025/APT41, APT10 e le sue affiliate, nonché gruppi di attori di minacce russi sconosciuti potrebbero potenzialmente sfruttare le vulnerabilità di questi dispositivi per soddisfare le loro motivazioni (che possono includere geo- considerazioni politiche).”

Il rischio nei dispositivi IoT

Con storie come questa, è facile attribuire pigrizia a individui e organizzazioni che lasciano il loro software senza patch. Ma la storia non è sempre così semplice.

Secondo David Maynor, direttore senior dell'intelligence sulle minacce di Cybrary, le telecamere Hikvision sono state vulnerabili per molte ragioni e per un po' di tempo. “Il loro prodotto contiene vulnerabilità sistemiche facili da sfruttare o, peggio, utilizza credenziali predefinite. Non esiste un buon modo per eseguire indagini forensi o verificare che un aggressore sia stato rimosso. Inoltre, non abbiamo osservato alcun cambiamento nella postura di Hikvision per segnalare un aumento della sicurezza all'interno del loro ciclo di sviluppo".

Gran parte del problema è endemico per l'industria, non solo per Hikvision. "I dispositivi IoT come le fotocamere non sono sempre facili o semplici da proteggere come un'app sul telefono", ha scritto Paul Bischoff, difensore della privacy di Comparitech, in una dichiarazione via e-mail. “Gli aggiornamenti non sono automatici; gli utenti devono scaricarli e installarli manualmente e molti utenti potrebbero non ricevere mai il messaggio. Inoltre, i dispositivi IoT potrebbero non fornire agli utenti alcuna indicazione di non essere protetti o non aggiornati. Mentre il tuo telefono ti avviserà quando è disponibile un aggiornamento e probabilmente lo installerà automaticamente al prossimo riavvio, i dispositivi IoT non offrono tali comodità".

Anche se gli utenti non sono più saggi, i criminali informatici possono cercare i loro dispositivi vulnerabili con motori di ricerca come Shodan o Censys. Il problema può certamente essere aggravato dalla pigrizia, come ha osservato Bischoff, "dal fatto che le telecamere Hikvision sono dotate di una delle poche password predeterminate e molti utenti non cambiano queste password predefinite".

Tra sicurezza debole, visibilità insufficiente e supervisione, non è chiaro quando o se queste decine di migliaia di telecamere saranno mai protette.