사이버 범죄자들이 중국 감시 카메라에 대한 액세스 권한을 판매하고 있습니다.

신제품 연구 현재 전 세계에서 80,000대 이상의 Hikvision 감시 카메라가 11개월 된 명령 주입 결함에 취약하다는 것을 나타냅니다.

Hikvision(Hangzhou Hikvision Digital Technology의 약자)은 중국 국영 영상 감시 장비 제조업체입니다. 그들의 고객은 미국을 포함하여 100개 이상의 국가에 걸쳐 있습니다(2019년 FCC가 Hikvision에 "미국 국가 안보에 대한 수용할 수 없는 위험"이라는 라벨을 지정했음에도 불구하고).

지난 가을, Hikvision 카메라의 명령 주입 결함이 다음과 같이 세상에 밝혀졌습니다. CVE-2021-36260. NIST는 이 익스플로잇에 대해 9.8점 만점에 10점의 "심각한" 등급을 받았습니다.

취약점의 심각성에도 불구하고 이 이야기가 시작된 지 거의 80,000년이 지났지만 XNUMX개 이상의 영향을 받는 장치가 패치되지 않은 상태로 남아 있습니다. 그 이후로 연구원들은 특히 유출된 자격 증명이 판매되는 러시아 다크 웹 포럼에서 "명령 주입 취약점을 사용하여 Hikvision 카메라를 악용하기 위해 협력하려는 해커의 여러 사례"를 발견했습니다.

이미 피해 규모는 불분명하다. 보고서 작성자는 "MISSION2025/APT41, APT10 및 그 계열사와 같은 중국 위협 그룹과 알려지지 않은 러시아 위협 행위자 그룹이 잠재적으로 이러한 장치의 취약점을 악용하여 동기를 달성할 수 있습니다. 여기에는 특정 지역이 포함될 수 있습니다. 정치적 고려).”

IoT 장치의 위험

이와 같은 이야기를 통해 소프트웨어를 패치하지 않은 상태로 두는 개인과 조직의 게으름을 쉽게 설명할 수 있습니다. 그러나 이야기는 항상 그렇게 간단하지 않습니다.

Cybrary의 위협 인텔리전스 수석 이사인 David Maynor에 따르면 Hikvision 카메라는 여러 가지 이유로 한동안 취약했습니다. “그들의 제품에는 악용하기 쉬운 시스템 취약점이 포함되어 있으며 기본 자격 증명을 사용합니다. 포렌식을 수행하거나 공격자가 제거되었는지 확인할 수 있는 좋은 방법은 없습니다. 또한 개발 주기 내에서 보안 강화를 나타내는 Hikvision의 자세 변화를 관찰하지 못했습니다.”

많은 문제가 Hikvision뿐만 아니라 업계 고유의 문제입니다. Comparitech의 개인 정보 보호 옹호자인 Paul Bischoff는 이메일을 통해 "카메라와 같은 IoT 장치는 휴대전화의 앱만큼 보호하기가 항상 쉽지 않거나 간단하지 않습니다."라고 말했습니다. “업데이트는 자동이 아닙니다. 사용자는 수동으로 다운로드하여 설치해야 하며 많은 사용자가 메시지를 받지 못할 수 있습니다. 또한 IoT 장치는 사용자에게 안전하지 않거나 오래되었다는 표시를 제공하지 않을 수 있습니다. 업데이트가 있을 때 휴대전화에서 알려주고 다음에 재부팅할 때 자동으로 설치할 가능성이 높지만 IoT 장치는 그러한 편의를 제공하지 않습니다.”

사용자가 현명하지는 않지만 사이버 범죄자는 Shodan 또는 Censys와 같은 검색 엔진을 사용하여 취약한 장치를 검색할 수 있습니다. Bischoff는 "Hikvision 카메라는 기본적으로 미리 결정된 몇 가지 암호 중 하나와 함께 제공되며 많은 사용자가 이러한 기본 암호를 변경하지 않는다는 사실로 인해" 문제는 게으름으로 인해 확실히 악화될 수 있습니다.

취약한 보안, 불충분한 가시성 및 감독 사이에서 이 수만 대의 카메라가 언제 또는 보안이 유지될지는 불분명합니다.