Titusenvis av kameraer har ikke klart å lappe en kritisk, 11 måneder gammel CVE, noe som etterlater tusenvis av organisasjoner utsatt.
Ny forskning indikerer at over 80,000 11 Hikvision overvåkingskameraer i verden i dag er sårbare for en XNUMX måneder gammel kommandoinjeksjonsfeil.
Hikvision – forkortelse for Hangzhou Hikvision Digital Technology – er en kinesisk statseid produsent av videoovervåkingsutstyr. Kundene deres spenner over 100 land (inkludert USA, til tross for at FCC merker Hikvision «en uakseptabel risiko for USAs nasjonale sikkerhet» i 2019).
I fjor høst ble en kommandoinjeksjonsfeil i Hikvision-kameraer avslørt for verden som CVE-2021-36260. Utnyttelsen ble gitt en "kritisk" 9.8 av 10 vurdering av NIST.
Til tross for alvorlighetsgraden av sårbarheten, og nesten et år inn i denne historien, forblir over 80,000 XNUMX berørte enheter uopprettet. I tiden etterpå har forskerne oppdaget "flere tilfeller av hackere som ønsker å samarbeide om å utnytte Hikvision-kameraer ved å bruke kommandoinjeksjonssårbarheten," spesifikt i russiske mørke nettfora, der lekket legitimasjon har blitt lagt ut for salg.
Skadeomfanget er allerede uklart. Forfatterne av rapporten kunne bare spekulere i at "kinesiske trusselgrupper som MISSION2025/APT41, APT10 og dets tilknyttede selskaper, samt ukjente russiske trusselaktørgrupper kan potensielt utnytte sårbarheter i disse enhetene for å oppfylle motivene deres (som kan inkludere spesifikke geo- politiske hensyn).»
Risikoen i IoT-enheter
Med historier som dette er det lett å tilskrive latskap til enkeltpersoner og organisasjoner som lar programvaren være uopprettet. Men historien er ikke alltid så enkel.
Ifølge David Maynor, seniordirektør for trusseletterretning i Cybrary, har Hikvision-kameraer vært sårbare av mange årsaker, og en stund. "Produktet deres inneholder systemiske sårbarheter som er enkle å utnytte, eller enda verre, bruker standard legitimasjon. Det er ingen god måte å utføre etterforskning eller bekrefte at en angriper har blitt fjernet. Videre har vi ikke observert noen endring i Hikvisions holdning for å signalisere en økning i sikkerhet innenfor utviklingssyklusen deres.»
Mye av problemet er endemisk for industrien, ikke bare Hikvision. "IoT-enheter som kameraer er ikke alltid like enkle eller greie å sikre som en app på telefonen din," skrev Paul Bischoff, personvernadvokat hos Comparitech, i en uttalelse via e-post. «Oppdateringer er ikke automatiske; brukere må laste ned og installere dem manuelt, og mange brukere får kanskje aldri meldingen. Videre kan det hende at IoT-enheter ikke gir brukere noen indikasjon på at de er usikrede eller utdaterte. Mens telefonen din vil varsle deg når en oppdatering er tilgjengelig og sannsynligvis installere den automatisk neste gang du starter på nytt, tilbyr ikke IoT-enheter slike bekvemmeligheter."
Mens brukere ikke er desto klokere, kan nettkriminelle skanne etter deres sårbare enheter med søkemotorer som Shodan eller Censys. Problemet kan sikkert forsterkes med latskap, som Bischoff bemerket, "ved at Hikvision-kameraer kommer med et av noen få forhåndsbestemte passord ut av esken, og mange brukere endrer ikke disse standardpassordene."
Mellom svak sikkerhet, utilstrekkelig synlighet og tilsyn, er det uklart når eller om disse titusenvis av kameraer noen gang vil bli sikret.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://threatpost.com/cybercriminals-are-selling-access-to-chinese-surveillance-cameras/180478/
- 000
- 10
- 100
- 11
- 2019
- 9
- a
- adgang
- Handling
- advokat
- agenter
- Varsle
- allerede
- alltid
- og
- app
- forfattere
- Automatisk
- automatisk
- tilgjengelig
- Eske
- kameraer
- Gjerne
- endring
- Kinesisk
- samarbeide
- Kom
- betraktninger
- inneholder
- kunne
- land
- Credentials
- kritisk
- Kunder
- cve
- nettkriminelle
- Cybersecurity
- mørk
- mørk Web
- Dato
- David
- Misligholde
- Til tross for
- Utvikling
- Enheter
- digitalt
- digital teknologi
- Regissør
- oppdaget
- ikke
- nedlasting
- emalje
- Motorer
- utstyr
- NOEN GANG
- Exploit
- utsatt
- Mislyktes
- Fall
- FCC
- Noen få
- feil
- etterforskning
- fora
- Innfri
- Dess
- få
- Gi
- gitt
- god
- Gruppens
- hackere
- Hangzhou
- HTTPS
- forbedring
- in
- inkludere
- Inkludert
- Øke
- indikerer
- indikasjon
- individer
- industri
- installere
- Intelligens
- IOT
- Iiot enheter
- IT
- merking
- Permisjon
- forlater
- Sannsynlig
- ser
- Lot
- manuelt
- Produsent
- mange
- melding
- kunne
- nasjonal
- nesten
- Trenger
- neste
- nst
- bemerket
- tilby
- ONE
- organisasjoner
- oppsyn
- oversikt
- passord
- patch
- paul
- Utfør
- telefon
- plato
- Platon Data Intelligence
- PlatonData
- potensielt
- privatliv
- Problem
- Produkt
- sette
- vurdering
- grunner
- forbli
- rapporterer
- forskere
- Avslørt
- Risiko
- russisk
- salg
- skanne
- Søk
- Søkemotorer
- sikre
- sikret
- sikkerhet
- Å Sell
- senior
- Kort
- Signal
- Enkelt
- siden
- So
- Software
- spesifikk
- spesielt
- statseid
- Uttalelse
- Stater
- Stories
- Story
- rett fram
- slik
- overvåking
- systemisk
- Teknologi
- De
- verden
- deres
- tusener
- trussel
- tid
- til
- i dag
- oss
- forent
- Forente Stater
- usikret
- Oppdater
- Brukere
- verifisere
- av
- video
- synlighet
- Sikkerhetsproblemer
- sårbarhet
- Sårbar
- web
- hvilken
- mens
- vil
- innenfor
- verden
- år
- Du
- Din
- zephyrnet
