Tiotusentals kameror har misslyckats med att lappa en kritisk, 11 månader gammal CVE, vilket har lämnat tusentals organisationer utsatta.
Nya forskning indikerar att över 80,000 11 Hikvision övervakningskameror i världen idag är sårbara för ett XNUMX månader gammalt kommandoinjektionsfel.
Hikvision – kort för Hangzhou Hikvision Digital Technology – är en kinesisk statlig tillverkare av videoövervakningsutrustning. Deras kunder spänner över 100 länder (inklusive USA, trots att FCC märkte Hikvision "en oacceptabel risk för USA:s nationella säkerhet" 2019).
Förra hösten avslöjades ett kommandoinjektionsfel i Hikvision-kameror för världen som CVE-2021-36260. Exploateringen fick ett "kritiskt" betyg på 9.8 av 10 av NIST.
Trots allvaret av sårbarheten, och nästan ett år in i den här historien, förblir över 80,000 XNUMX berörda enheter oparpade. Under tiden sedan dess har forskarna upptäckt "flera fall av hackare som vill samarbeta för att utnyttja Hikvision-kameror med hjälp av sårbarheten för kommandoinjektion", särskilt i ryska mörka webbforum, där läckta referenser har lagts ut till försäljning.
Omfattningen av skadorna är redan oklart. Författarna till rapporten kunde bara spekulera i att "kinesiska hotgrupper som MISSION2025/APT41, APT10 och dess dotterbolag, såväl som okända ryska hotaktörsgrupper potentiellt skulle kunna utnyttja sårbarheter i dessa enheter för att uppfylla sina motiv (vilket kan inkludera specifika geo- politiska överväganden).
Risken i IoT-enheter
Med berättelser som denna är det lätt att tillskriva lathet åt individer och organisationer som lämnar sin programvara oparpad. Men historien är inte alltid så enkel.
Enligt David Maynor, senior chef för hotintelligens på Cybrary, har Hikvision-kameror varit sårbara av många anledningar och under ett tag. "Deras produkt innehåller systemiska sårbarheter som är lätta att utnyttja eller ännu värre, använder standardreferenser. Det finns inget bra sätt att utföra kriminaltekniska undersökningar eller verifiera att en angripare har tagits bort. Dessutom har vi inte observerat någon förändring i Hikvisions hållning för att signalera en ökad säkerhet inom deras utvecklingscykel."
Mycket av problemet är endemiskt för branschen, inte bara Hikvision. "IoT-enheter som kameror är inte alltid lika lätta eller enkla att säkra som en app på din telefon", skrev Paul Bischoff, integritetsförespråkare hos Comparitech, i ett uttalande via e-post. "Uppdateringar är inte automatiska; användare måste ladda ner och installera dem manuellt, och många användare kanske aldrig får meddelandet. Dessutom kanske IoT-enheter inte ger användarna någon indikation på att de är osäkra eller inaktuella. Medan din telefon kommer att varna dig när en uppdatering är tillgänglig och troligen installera den automatiskt nästa gång du startar om, erbjuder IoT-enheter inte sådana bekvämligheter."
Även om användarna inte är desto klokare kan cyberbrottslingar söka efter sina sårbara enheter med sökmotorer som Shodan eller Censys. Problemet kan säkert förvärras med lathet, som Bischoff noterade, "av det faktum att Hikvision-kameror levereras med ett av ett fåtal förutbestämda lösenord ur lådan, och många användare ändrar inte dessa standardlösenord."
Mellan svag säkerhet, otillräcklig sikt och tillsyn är det oklart när eller om dessa tiotusentals kameror någonsin kommer att säkras.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://threatpost.com/cybercriminals-are-selling-access-to-chinese-surveillance-cameras/180478/
- 000
- 10
- 100
- 11
- 2019
- 9
- a
- tillgång
- Agera
- förespråkare
- affiliates
- Varna
- redan
- alltid
- och
- app
- Författarna
- Automat
- automatiskt
- tillgänglig
- Box
- kameror
- säkerligen
- byta
- kinesisk
- samarbeta
- komma
- överväganden
- innehåller
- kunde
- länder
- referenser
- kritisk
- Kunder
- CVE
- nätbrottslingar
- Cybersäkerhet
- mörkt
- mörk Web
- Datum
- David
- Standard
- Trots
- Utveckling
- enheter
- digital
- digital teknik
- Direktör
- upptäckt
- inte
- ladda ner
- Motorer
- Utrustning
- NÅGONSIN
- Exploit
- utsatta
- Misslyckades
- Höst
- FCC
- få
- fel
- kriminalteknik
- forum
- Uppfylla
- Vidare
- skaffa sig
- Ge
- ges
- god
- Gruppens
- hackare
- Hangzhou
- HTTPS
- förbättring
- in
- innefattar
- Inklusive
- Öka
- pekar på
- indikation
- individer
- industrin
- installera
- Intelligens
- iot
- iot enheter
- IT
- märkning
- Lämna
- lämnar
- sannolikt
- du letar
- Lot
- manuellt
- Tillverkare
- många
- meddelande
- kanske
- nationell
- nästan
- Behöver
- Nästa
- NIST
- noterade
- erbjudanden
- ONE
- organisationer
- Tillsyn
- Översikt
- lösenord
- Lappa
- paul
- Utföra
- telefon
- plato
- Platon Data Intelligence
- PlatonData
- potentiellt
- privatpolicy
- Problem
- Produkt
- sätta
- betyg
- skäl
- förblir
- rapport
- forskare
- avslöjade
- Risk
- ryska
- Till Salu
- scanna
- Sök
- Sökmotorer
- säkra
- Säkrad
- säkerhet
- Försäljningen
- senior
- Kort
- Signal
- Enkelt
- eftersom
- So
- Mjukvara
- specifik
- specifikt
- statligt ägda
- .
- Stater
- Upplevelser för livet
- Historia
- okomplicerad
- sådana
- övervakning
- systemisk
- Teknologi
- Smakämnen
- världen
- deras
- tusentals
- hot
- tid
- till
- i dag
- oss
- United
- USA
- osäkrad
- Uppdatering
- användare
- verifiera
- via
- Video
- synlighet
- sårbarheter
- sårbarhet
- Sårbara
- webb
- som
- medan
- kommer
- inom
- världen
- år
- Om er
- Din
- zephyrnet
