Cibercriminosos estão vendendo acesso a câmeras de vigilância chinesas

Novo pesquisa indica que mais de 80,000 câmeras de vigilância Hikvision no mundo hoje estão vulneráveis ​​a uma falha de injeção de comando de 11 meses.

Hikvision – abreviação de Hangzhou Hikvision Digital Technology – é uma fabricante estatal chinesa de equipamentos de vigilância por vídeo. Seus clientes abrangem mais de 100 países (incluindo os Estados Unidos, apesar da FCC rotular a Hikvision como “um risco inaceitável para a segurança nacional dos EUA” em 2019).

No outono passado, uma falha de injeção de comando nas câmeras Hikvision foi revelada ao mundo como CVE-2021-36260. A exploração recebeu uma classificação “crítica” de 9.8 de 10 pelo NIST.

Apesar da gravidade da vulnerabilidade, e quase um ano nesta história, mais de 80,000 dispositivos afetados permanecem sem correção. Desde então, os pesquisadores descobriram “várias instâncias de hackers procurando colaborar na exploração de câmeras Hikvision usando a vulnerabilidade de injeção de comando”, especificamente em fóruns russos da dark web, onde credenciais vazadas foram colocadas à venda.

A extensão dos danos causados ​​já não é clara. Os autores do relatório só podem especular que “grupos de ameaças chineses, como MISSION2025/APT41, APT10 e suas afiliadas, bem como grupos de atores de ameaças russos desconhecidos, poderiam explorar vulnerabilidades nesses dispositivos para cumprir seus motivos (que podem incluir geo- considerações políticas).

O risco em dispositivos IoT

Com histórias como essa, é fácil atribuir preguiça a indivíduos e organizações que deixam seus softwares sem correção. Mas a história nem sempre é tão simples.

De acordo com David Maynor, diretor sênior de inteligência de ameaças da Cybrary, as câmeras Hikvision estão vulneráveis ​​por vários motivos e por um tempo. “O produto deles contém vulnerabilidades sistêmicas fáceis de explorar ou pior, usa credenciais padrão. Não há uma boa maneira de realizar análises forenses ou verificar se um invasor foi extirpado. Além disso, não observamos nenhuma mudança na postura da Hikvision para sinalizar um aumento na segurança dentro de seu ciclo de desenvolvimento.”

Muito do problema é endêmico para a indústria, não apenas para a Hikvision. “Dispositivos de IoT, como câmeras, nem sempre são tão fáceis ou simples de proteger quanto um aplicativo em seu telefone”, escreveu Paul Bischoff, defensor da privacidade da Comparitech, em comunicado por e-mail. “As atualizações não são automáticas; os usuários precisam baixá-los e instalá-los manualmente, e muitos usuários podem nunca receber a mensagem. Além disso, os dispositivos IoT podem não fornecer aos usuários nenhuma indicação de que não são seguros ou estão desatualizados. Enquanto seu telefone o alertará quando uma atualização estiver disponível e provavelmente a instalará automaticamente na próxima vez que você reiniciar, os dispositivos IoT não oferecem essas conveniências.”

Embora os usuários não saibam, os cibercriminosos podem verificar seus dispositivos vulneráveis ​​com mecanismos de pesquisa como Shodan ou Censys. O problema certamente pode ser agravado pela preguiça, como observou Bischoff, “pelo fato de que as câmeras Hikvision vêm com uma das poucas senhas predeterminadas prontas para uso, e muitos usuários não alteram essas senhas padrão”.

Entre segurança fraca, visibilidade e supervisão insuficientes, não está claro quando ou se essas dezenas de milhares de câmeras serão protegidas.