Киберпреступники продают доступ к китайским камерам наблюдения

Новые исследованиям указывает на то, что более 80,000 11 камер наблюдения Hikvision в мире сегодня уязвимы к уязвимости внедрения команд XNUMX-месячной давности.

Hikvision — сокращение от Hangzhou Hikvision Digital Technology — китайский государственный производитель оборудования для видеонаблюдения. Их клиенты находятся в более чем 100 странах (включая Соединенные Штаты, несмотря на то, что FCC назвала Hikvision «неприемлемым риском для национальной безопасности США» в 2019 году).

Осенью прошлого года миру стало известно об ошибке внедрения команд в камерах Hikvision. CVE-2021-36260. Эксплойт получил «критический» рейтинг 9.8 из 10 NIST.

Несмотря на серьезность уязвимости и почти год истории, более 80,000 XNUMX затронутых устройств остаются неисправленными. С тех пор исследователи обнаружили «множество случаев, когда хакеры хотели сотрудничать в эксплуатации камер Hikvision с помощью уязвимости внедрения команд», в частности, на российских форумах даркнета, где были выставлены на продажу украденные учетные данные.

Размер нанесенного ущерба уже не ясен. Авторы отчета могли только предположить, что «китайские группы угроз, такие как MISSION2025/APT41, APT10 и их филиалы, а также неизвестные российские группы злоумышленников потенциально могут использовать уязвимости в этих устройствах для реализации своих мотивов (которые могут включать определенные гео- политические соображения).

Риск в устройствах IoT

С такими историями легко приписать лень отдельным лицам и организациям, которые оставляют свое программное обеспечение неисправленным. Но история не всегда так проста.

По словам Дэвида Мейнора, старшего директора Cybrary по анализу угроз, камеры Hikvision были уязвимы по многим причинам и в течение некоторого времени. «Их продукт содержит легко эксплуатируемые системные уязвимости или, что еще хуже, использует учетные данные по умолчанию. Нет хорошего способа провести экспертизу или убедиться, что злоумышленник был удален. Кроме того, мы не заметили каких-либо изменений в позиции Hikvision, свидетельствующих об увеличении безопасности в их цикле разработки».

Многие проблемы присущи отрасли, а не только Hikvision. «Устройства IoT, такие как камеры, не всегда так легко или просто защитить, как приложение на вашем телефоне», — написал Пол Бишофф, защитник конфиденциальности Comparitech, в заявлении по электронной почте. «Обновления не автоматические; пользователям необходимо вручную загрузить и установить их, и многие пользователи могут никогда не получить сообщение. Кроме того, устройства IoT могут не указывать пользователям на то, что они не защищены или устарели. В то время как ваш телефон предупредит вас, когда будет доступно обновление, и, скорее всего, установит его автоматически при следующей перезагрузке, устройства IoT не предлагают таких удобств».

Хотя пользователи ничего не понимают, киберпреступники могут сканировать свои уязвимые устройства с помощью поисковых систем, таких как Shodan или Censys. Проблема, безусловно, может усугубляться ленью, как заметил Бишофф, «тем фактом, что камеры Hikvision поставляются с одним из нескольких предопределенных паролей из коробки, и многие пользователи не меняют эти пароли по умолчанию».

Из-за слабой безопасности, недостаточной видимости и надзора неясно, когда и будут ли эти десятки тысяч камер защищены.