עשרות אלפי מצלמות לא הצליחו לתקן CVE קריטי בן 11 חודשים, מה שהותיר אלפי ארגונים חשופים.
חדש מחקר מצביע על כך שלמעלה מ-80,000 מצלמות מעקב Hikvision בעולם כיום פגיעות לפגם בהזרקת פקודה בת 11 חודשים.
Hikvision - קיצור של Hangzhou Hikvision Digital Technology - היא יצרנית ממשלתית סינית של ציוד מעקב וידאו. הלקוחות שלהם משתרעים על פני למעלה מ-100 מדינות (כולל ארה"ב, למרות שה-FCC תייג את Hikvision "סיכון בלתי מתקבל על הדעת לביטחון הלאומי של ארה"ב ב-2019).
בסתיו האחרון התגלה לעולם פגם בהזרקת פיקוד במצלמות Hikvision CVE-2021-36260. הניצול קיבל דירוג "קריטי" של 9.8 מתוך 10 על ידי NIST.
למרות חומרת הפגיעות, וכמעט שנה לתוך הסיפור הזה, למעלה מ-80,000 מכשירים מושפעים נותרו ללא תיקון. בזמן שחלפו מאז גילו החוקרים "מספר רב של מקרים של האקרים המחפשים לשתף פעולה בניצול מצלמות Hikvision תוך שימוש בפגיעות של הזרקת פקודה", במיוחד בפורומים של רשת אפלה ברוסית, שם הועמדו למכירה אישורים שהודלפו.
היקף הנזק שנגרם כבר לא ברור. מחברי הדו"ח יכלו רק לשער כי "קבוצות איומים סיניות כגון MISSION2025/APT41, APT10 והחברות הקשורות אליה, כמו גם קבוצות גורמי איומים רוסים לא ידועים עלולים לנצל פגיעויות במכשירים אלה כדי להגשים את מניעיהם (שעשויים לכלול גיאוגרפי ספציפיים). שיקולים פוליטיים).
הסיכון במכשירי IoT
עם סיפורים כאלה, קל לייחס עצלות לאנשים ולארגונים שמשאירים את התוכנה שלהם ללא תיקון. אבל הסיפור לא תמיד כל כך פשוט.
לדברי דייוויד מינור, מנהל בכיר למודיעין איומים ב-Cybrary, מצלמות Hikvision היו פגיעות מסיבות רבות, ולמשך זמן מה. "המוצר שלהם מכיל פגיעויות מערכתיות שקל לנצל או גרוע מכך, משתמש באישורי ברירת מחדל. אין דרך טובה לבצע זיהוי פלילי או לוודא שתוקף נכרת. יתרה מזאת, לא ראינו שום שינוי בתנוחה של Hikvision כדי לאותת על עלייה באבטחה בתוך מחזור הפיתוח שלהם."
הרבה מהבעיה היא אנדמית לתעשייה, לא רק ל-Hikvision. "התקני IoT כמו מצלמות אינם תמיד קלים או פשוטים לאבטחה כמו אפליקציה בטלפון שלך", כתב פול בישוף, תומך פרטיות עם Comparitech, בהצהרה בדוא"ל. "העדכונים אינם אוטומטיים; משתמשים צריכים להוריד ולהתקין אותם באופן ידני, וייתכן שמשתמשים רבים לעולם לא יקבלו את ההודעה. יתר על כן, ייתכן שמכשירי IoT לא יתנו למשתמשים שום אינדיקציה שהם לא מאובטחים או לא מעודכנים. בעוד שהטלפון שלך יתריע כאשר עדכון זמין וככל הנראה יתקין אותו אוטומטית בפעם הבאה שתבצע אתחול מחדש, מכשירי IoT אינם מציעים נוחות כזו."
בעוד שהמשתמשים אינם חכמים יותר, פושעי סייבר יכולים לסרוק את המכשירים הפגיעים שלהם עם מנועי חיפוש כמו Shodan או Censys. הבעיה בהחלט יכולה להיות מורכבת עם עצלות, כפי שציין בישוף, "על ידי העובדה שמצלמות Hikvision מגיעות עם אחת מכמה סיסמאות שנקבעו מראש מהקופסה, ומשתמשים רבים לא משנים את סיסמאות ברירת המחדל הללו."
בין אבטחה חלשה, ראות לא מספקת ופיקוח, לא ברור מתי או אם עשרות אלפי המצלמות הללו יאובטחו אי פעם.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://threatpost.com/cybercriminals-are-selling-access-to-chinese-surveillance-cameras/180478/
- 000
- 10
- 100
- 11
- 2019
- 9
- a
- גישה
- לפעול
- עו"ד
- סניפים
- ערני
- כְּבָר
- תמיד
- ו
- האפליקציה
- מחברים
- מכני עם סלילה אוטומטית
- באופן אוטומטי
- זמין
- אריזה מקורית
- מצלמות
- בהחלט
- שינוי
- סינית
- לשתף פעולה
- איך
- שיקולים
- מכיל
- יכול
- מדינות
- אישורים
- קריטי
- לקוחות
- Cve
- עברייני אינטרנט
- אבטחת סייבר
- כהה
- אינטרנט אפל
- תַאֲרִיך
- דוד
- בְּרִירַת מֶחדָל
- למרות
- צעצועי התפתחות
- התקנים
- דיגיטלי
- טכנולוגיה דיגיטלית
- מְנַהֵל
- גילה
- לא
- להורדה
- אמייל
- מנועים
- ציוד
- אי פעם
- לנצל
- חשוף
- נכשל
- ליפול
- ה-FCC
- מעטים
- פגם
- זיהוי פלילי
- פורומים
- הגשמה
- יתר על כן
- לקבל
- לתת
- נתן
- טוב
- קבוצה
- האקרים
- הנגז
- HTTPS
- השבחה
- in
- לכלול
- כולל
- להגדיל
- מצביע על
- סִימָן
- אנשים
- תעשייה
- להתקין
- מוֹדִיעִין
- IOT
- מכשירי יוט
- IT
- תיוג
- יציאה
- עזיבה
- סביר
- הסתכלות
- מגרש
- באופן ידני
- יַצרָן
- רב
- הודעה
- יכול
- לאומי
- כמעט
- צורך
- הבא
- ניסט
- ציין
- הַצָעָה
- ONE
- ארגונים
- מֶחדָל
- סקירה
- סיסמאות
- תיקון
- פול
- לְבַצֵעַ
- טלפון
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- פוטנציאל
- פְּרָטִיוּת
- בעיה
- המוצר
- גם
- דירוג
- סיבות
- להשאר
- לדווח
- חוקרים
- גילה
- הסיכון
- רוסי
- SALE
- סריקה
- חיפוש
- מנועי חיפוש
- לבטח
- מְאוּבטָח
- אבטחה
- מכירת
- לחצני מצוקה לפנסיונרים
- קצר
- לאותת
- פָּשׁוּט
- since
- So
- תוכנה
- ספציפי
- במיוחד
- בבעלות המדינה
- הצהרה
- הברית
- סיפורים
- סיפור
- פשוט
- כזה
- מעקב
- מערכתי
- טכנולוגיה
- השמיים
- העולם
- שֶׁלָהֶם
- אלפים
- איום
- זמן
- ל
- היום
- לָנוּ
- מאוחד
- ארצות הברית
- לא מאובטח
- עדכון
- משתמשים
- לאמת
- באמצעות
- וִידֵאוֹ
- ראות
- פגיעויות
- פגיעות
- פגיע
- אינטרנט
- אשר
- בזמן
- יצטרך
- בתוך
- עוֹלָם
- שנה
- אתה
- זפירנט