Kibernetski kriminalci prodajajo dostop do kitajskih nadzornih kamer

Novo Raziskave kaže, da je danes več kot 80,000 nadzornih kamer Hikvision na svetu ranljivih za 11 mesecev staro napako vbrizgavanja ukazov.

Hikvision – okrajšava za Hangzhou Hikvision Digital Technology – je kitajski državni proizvajalec opreme za video nadzor. Njihove stranke segajo v več kot 100 držav (vključno z Združenimi državami, kljub temu, da je FCC leta 2019 Hikvision označil kot "nesprejemljivo tveganje za nacionalno varnost ZDA").

Lani jeseni je bila napaka vbrizgavanja ukazov v kamerah Hikvision razkrita svetu kot CVE-2021-36260. Izkoriščanje je NIST ocenilo "kritično" 9.8 od 10.

Kljub resnosti ranljivosti in skoraj enemu letu te zgodbe več kot 80,000 prizadetih naprav ostaja nepopravljenih. V času od takrat so raziskovalci odkrili "več primerov hekerjev, ki želijo sodelovati pri izkoriščanju kamer Hikvision z uporabo ranljivosti vbrizgavanja ukazov," zlasti na ruskih temnih spletnih forumih, kjer so bile razkrite poverilnice dane v prodajo.

Kolikšna je že povzročena škoda, ni jasno. Avtorji poročila so lahko samo špekulirali, da bi lahko »kitajske skupine groženj, kot so MISSION2025/APT41, APT10 in njene podružnice, ter neznane ruske skupine akterjev groženj potencialno izkoristile ranljivosti v teh napravah, da bi izpolnile svoje motive (ki lahko vključujejo specifične geo- politični vidiki)."

Tveganje v napravah IoT

S takšnimi zgodbami je zlahka pripisati lenobo posameznikom in organizacijam, ki puščajo nepopravljeno programsko opremo. Toda zgodba ni vedno tako preprosta.

Po besedah ​​Davida Maynorja, višjega direktorja za obveščanje o grožnjah pri Cybrary, so bile kamere Hikvision ranljive iz več razlogov in že nekaj časa. »Njihov izdelek vsebuje sistemske ranljivosti, ki jih je enostavno izkoristiti, ali še huje, uporablja privzete poverilnice. Ni dobrega načina za izvedbo forenzike ali preverjanje, ali je bil napadalec izrezan. Poleg tega nismo opazili nobene spremembe v drži Hikvision, ki bi signalizirala povečanje varnosti v njihovem razvojnem ciklu.«

Veliko težav je endemičnih za industrijo, ne samo za Hikvision. "IoT naprav, kot so kamere, ni vedno tako enostavno ali enostavno zavarovati kot aplikacijo na telefonu," je Paul Bischoff, zagovornik zasebnosti pri Comparitechu, zapisal v izjavi po elektronski pošti. »Posodobitve niso samodejne; uporabniki jih morajo ročno prenesti in namestiti, mnogi uporabniki pa morda ne bodo nikoli prejeli sporočila. Poleg tega naprave IoT uporabnikom morda ne dajejo nobenega znaka, da so nezaščitene ali zastarele. Medtem ko vas bo vaš telefon opozoril, ko bo na voljo posodobitev, in jo verjetno samodejno namestil ob naslednjem ponovnem zagonu, naprave IoT ne ponujajo takšnih ugodnosti.«

Čeprav uporabniki niso nič pametnejši, lahko kibernetski kriminalci poiščejo svoje ranljive naprave z iskalniki, kot sta Shodan ali Censys. Težavo lahko vsekakor poveča lenoba, kot je opazil Bischoff, "zaradi dejstva, da imajo kamere Hikvision eno od nekaj vnaprej določenih gesel, ki so takoj pripravljena, in mnogi uporabniki teh privzetih gesel ne spremenijo."

Med šibko varnostjo, nezadostno vidljivostjo in nadzorom ni jasno, kdaj in če bo teh deset tisoč kamer sploh zavarovanih.