Cyberprzestępcy sprzedają dostęp do chińskich kamer nadzoru

Nowości Badania naukowe wskazuje, że ponad 80,000 11 kamer Hikvision na świecie jest obecnie podatnych na błąd wstrzykiwania poleceń sprzed XNUMX miesięcy.

Hikvision – skrót od Hangzhou Hikvision Digital Technology – to chiński państwowy producent sprzętu do monitoringu wideo. Ich klienci obejmują ponad 100 krajów (w tym Stany Zjednoczone, pomimo oznaczenia przez FCC Hikvision jako „niedopuszczalnego ryzyka dla bezpieczeństwa narodowego USA” w 2019 r.).

Zeszłej jesieni ujawniono światu błąd wstrzykiwania poleceń w kamerach Hikvision: CVE-2021-36260. Exploit otrzymał ocenę „krytyczną” 9.8 na 10 przez NIST.

Pomimo powagi tej luki i prawie rok temu, ponad 80,000 XNUMX dotkniętych nią urządzeń nie zostało załatanych. Od tamtego czasu badacze odkryli „wiele przypadków hakerów chcących współpracować przy wykorzystywaniu kamer Hikvision przy użyciu luki wstrzykiwania polecenia”, w szczególności na rosyjskich forach dark web, gdzie ujawnione dane uwierzytelniające zostały wystawione na sprzedaż.

Skala wyrządzonych już szkód jest niejasna. Autorzy raportu mogli jedynie spekulować, że „chińskie grupy zagrożeń, takie jak MISSION2025/APT41, APT10 i ich podmioty stowarzyszone, a także nieznane rosyjskie grupy cyberprzestępców mogą potencjalnie wykorzystać luki w tych urządzeniach, aby spełnić swoje motywy (które mogą obejmować określone geo- względy polityczne).”

Ryzyko w urządzeniach IoT

Przy takich historiach łatwo jest przypisać lenistwo osobom i organizacjom, które pozostawiają swoje oprogramowanie bez poprawek. Ale historia nie zawsze jest taka prosta.

Według Davida Maynora, starszego dyrektora ds. analizy zagrożeń w Cybrary, kamery Hikvision były narażone z wielu powodów i przez pewien czas. „Ich produkt zawiera łatwe do wykorzystania luki systemowe lub, co gorsza, wykorzystuje domyślne dane uwierzytelniające. Nie ma dobrego sposobu na przeprowadzenie kryminalistyki lub zweryfikowanie, czy atakujący został wycięty. Co więcej, nie zaobserwowaliśmy żadnej zmiany w postawie Hikvision, która sygnalizowałaby wzrost bezpieczeństwa w ich cyklu rozwojowym.”

Wiele problemów dotyczy branży, nie tylko Hikvision. „Urządzenia IoT, takie jak kamery, nie zawsze są tak łatwe i proste do zabezpieczenia jak aplikacja na telefonie” – napisał Paul Bischoff, rzecznik ochrony prywatności w Comparitech, w oświadczeniu przesłanym pocztą elektroniczną. „Aktualizacje nie są automatyczne; użytkownicy muszą je ręcznie pobrać i zainstalować, a wielu użytkowników może nigdy nie otrzymać wiadomości. Ponadto urządzenia IoT mogą nie dawać użytkownikom żadnych wskazówek, że są niezabezpieczone lub nieaktualne. Podczas gdy Twój telefon powiadomi Cię, gdy aktualizacja będzie dostępna i prawdopodobnie zainstaluje ją automatycznie przy następnym ponownym uruchomieniu, urządzenia IoT nie oferują takich udogodnień”.

Chociaż użytkownicy wcale nie są mądrzejsi, cyberprzestępcy mogą skanować w poszukiwaniu podatnych na ataki urządzeń za pomocą wyszukiwarek takich jak Shodan czy Censys. Problem z pewnością może być połączony z lenistwem, jak zauważył Bischoff, „poprzez fakt, że kamery Hikvision są dostarczane z jednym z kilku z góry ustalonych haseł, a wielu użytkowników nie zmienia tych domyślnych haseł”.

Pomiędzy słabymi zabezpieczeniami, niewystarczającą widocznością i nadzorem, nie jest jasne, kiedy i czy te dziesiątki tysięcy kamer zostaną kiedykolwiek zabezpieczone.