Cybercriminelen verkopen toegang tot Chinese bewakingscamera's

New onderzoek geeft aan dat meer dan 80,000 Hikvision-bewakingscamera's in de wereld van vandaag kwetsbaar zijn voor een 11 maanden oude opdrachtinjectiefout.

Hikvision – een afkorting van Hangzhou Hikvision Digital Technology – is een Chinese staatsfabrikant van videobewakingsapparatuur. Hun klanten omvatten meer dan 100 landen (inclusief de Verenigde Staten, ondanks de FCC-labeling Hikvision "een onaanvaardbaar risico voor de Amerikaanse nationale veiligheid" in 2019).

Afgelopen herfst werd een opdrachtinjectiefout in Hikvision-camera's aan de wereld onthuld als: CVE-2021-36260. De exploit kreeg een "kritieke" beoordeling van 9.8 op 10 van NIST.

Ondanks de ernst van de kwetsbaarheid, en bijna een jaar in dit verhaal, blijven meer dan 80,000 getroffen apparaten ongepatcht. Sindsdien hebben de onderzoekers "meerdere gevallen ontdekt van hackers die willen samenwerken om Hikvision-camera's te exploiteren met behulp van de kwetsbaarheid voor commando-injectie", met name op Russische darkwebforums, waar gelekte inloggegevens te koop zijn aangeboden.

Hoe groot de schade al is, is niet duidelijk. De auteurs van het rapport konden alleen maar speculeren dat "Chinese bedreigingsgroepen zoals MISSION2025/APT41, APT10 en zijn gelieerde ondernemingen, evenals onbekende Russische groepen van bedreigingsactoren potentieel kwetsbaarheden in deze apparaten zouden kunnen misbruiken om hun motieven te vervullen (waaronder mogelijk specifieke geo- politieke overwegingen).”

Het risico in IoT-apparaten

Met dit soort verhalen is het gemakkelijk om luiheid toe te schrijven aan individuen en organisaties die hun software ongepatcht laten. Maar het verhaal is niet altijd zo eenvoudig.

Volgens David Maynor, senior director of threat intelligence bij Cybrary, zijn Hikvision-camera's om vele redenen en al een tijdje kwetsbaar. “Hun product bevat gemakkelijk te misbruiken systemische kwetsbaarheden of, erger nog, maakt gebruik van standaardreferenties. Er is geen goede manier om forensisch onderzoek uit te voeren of te verifiëren dat een aanvaller is weggesneden. Verder hebben we geen verandering in de houding van Hikvision waargenomen die wijst op een toename van de beveiliging binnen hun ontwikkelingscyclus.”

Veel van het probleem is endemisch voor de industrie, niet alleen voor Hikvision. "IoT-apparaten zoals camera's zijn niet altijd zo gemakkelijk of eenvoudig te beveiligen als een app op je telefoon", schreef Paul Bischoff, privacyadvocaat bij Comparitech, in een verklaring via e-mail. “Updates zijn niet automatisch; gebruikers moeten ze handmatig downloaden en installeren, en veel gebruikers krijgen het bericht misschien nooit. Bovendien geven IoT-apparaten gebruikers mogelijk geen indicatie dat ze onbeveiligd of verouderd zijn. Terwijl je telefoon je waarschuwt wanneer er een update beschikbaar is en deze waarschijnlijk automatisch installeert de volgende keer dat je opnieuw opstart, bieden IoT-apparaten dergelijke gemakken niet.”

Hoewel gebruikers niets wijzer zijn, kunnen cybercriminelen hun kwetsbare apparaten scannen met zoekmachines zoals Shodan of Censys. Het probleem kan zeker worden verergerd door luiheid, zoals Bischoff opmerkte, "door het feit dat Hikvision-camera's standaard worden geleverd met een van de weinige vooraf bepaalde wachtwoorden, en veel gebruikers deze standaardwachtwoorden niet wijzigen."

Tussen zwakke beveiliging, onvoldoende zicht en toezicht is het onduidelijk wanneer en of deze tienduizenden camera's ooit zullen worden beveiligd.