دسیوں ہزار کیمرے ایک اہم، 11 ماہ پرانے CVE کو پیچ کرنے میں ناکام رہے ہیں، جس سے ہزاروں تنظیمیں بے نقاب ہو گئی ہیں۔
نئی تحقیق اشارہ کرتا ہے کہ آج دنیا میں 80,000 سے زیادہ Hikvision نگرانی والے کیمرے 11 ماہ پرانے کمانڈ انجیکشن کی خرابی کا شکار ہیں۔
Hikvision - Hangzhou Hikvision ڈیجیٹل ٹیکنالوجی کے لیے مختصر - ویڈیو نگرانی کے آلات کی ایک چینی سرکاری کمپنی ہے۔ ان کے صارفین 100 سے زیادہ ممالک پر محیط ہیں (بشمول ریاستہائے متحدہ، 2019 میں FCC نے Hikvision کو "امریکی قومی سلامتی کے لیے ناقابل قبول خطرہ" کا لیبل لگانے کے باوجود)۔
گزشتہ موسم خزاں میں، Hikvision کیمروں میں ایک کمانڈ انجیکشن کی خامی دنیا کے سامنے سامنے آئی تھی۔ CVE-2021-36260. اس استحصال کو NIST کی طرف سے 9.8 میں سے 10 "تنقیدی" درجہ دیا گیا تھا۔
کمزوری کی شدت کے باوجود، اور اس کہانی میں تقریباً ایک سال گزرنے کے باوجود، 80,000 سے زیادہ متاثرہ آلات ابھی تک بغیر کسی نشان کے ہیں۔ اس کے بعد سے، محققین نے "کمانڈ انجیکشن کے خطرے کا استعمال کرتے ہوئے Hikvision کیمروں کا استحصال کرنے میں تعاون کرنے کے خواہاں ہیکرز کی متعدد مثالیں" دریافت کی ہیں، خاص طور پر روسی ڈارک ویب فورمز میں، جہاں لیک ہونے والی اسناد فروخت کے لیے رکھی گئی ہیں۔
نقصان کی حد پہلے ہی واضح نہیں ہے۔ رپورٹ کے مصنفین صرف یہ قیاس کر سکتے ہیں کہ "چینی خطرے والے گروپس جیسے MISSION2025/APT41، APT10 اور اس سے وابستہ افراد کے ساتھ ساتھ نامعلوم روسی دھمکی آمیز گروہ اپنے مقاصد کو پورا کرنے کے لیے ان آلات میں موجود کمزوریوں کا ممکنہ طور پر استحصال کر سکتے ہیں (جس میں مخصوص جغرافیائی شامل ہو سکتے ہیں۔ سیاسی تحفظات)۔
IoT آلات میں خطرہ
اس طرح کی کہانیوں کے ساتھ، ان افراد اور تنظیموں کے لیے سستی کا الزام لگانا آسان ہے جو اپنے سافٹ ویئر کو بغیر کسی پیچ کے چھوڑ دیتے ہیں۔ لیکن کہانی ہمیشہ اتنی سادہ نہیں ہوتی۔
سائبری میں تھریٹ انٹیلی جنس کے سینئر ڈائریکٹر ڈیوڈ مینور کے مطابق، ہیک ویژن کیمرے بہت سی وجوہات اور کچھ عرصے سے کمزور رہے ہیں۔ "ان کی مصنوعات میں نظامی کمزوریوں کا فائدہ اٹھانا آسان ہے یا اس سے بھی بدتر، پہلے سے طے شدہ اسناد کا استعمال کرتا ہے۔ فرانزک کرنے یا اس بات کی تصدیق کرنے کا کوئی اچھا طریقہ نہیں ہے کہ حملہ آور کو نکال دیا گیا ہے۔ مزید برآں، ہم نے Hikvision کی کرنسی میں کوئی تبدیلی نہیں دیکھی ہے جو ان کے ترقیاتی دور میں سیکورٹی میں اضافے کا اشارہ دے گی۔"
بہت ساری پریشانی صنعت کے لئے مقامی ہے، نہ صرف Hikvision. Comparitech کے پرائیویسی ایڈووکیٹ، Paul Bischoff نے ای میل کے ذریعے ایک بیان میں لکھا، "کیمروں جیسے IoT آلات ہمیشہ آپ کے فون پر ایک ایپ کی طرح محفوظ یا آسان نہیں ہوتے ہیں۔" "اپ ڈیٹس خودکار نہیں ہیں؛ صارفین کو انہیں دستی طور پر ڈاؤن لوڈ اور انسٹال کرنے کی ضرورت ہے، اور ہو سکتا ہے کہ بہت سے صارفین کو پیغام کبھی نہ ملے۔ مزید برآں، IoT ڈیوائسز صارفین کو کوئی اشارہ نہیں دے سکتی ہیں کہ وہ غیر محفوظ یا پرانے ہیں۔ جب کہ اپ ڈیٹ دستیاب ہونے پر آپ کا فون آپ کو الرٹ کرے گا اور اگلی بار جب آپ ریبوٹ کریں گے تو ممکنہ طور پر خود بخود انسٹال ہو جائے گا، IoT ڈیوائسز ایسی سہولتیں پیش نہیں کرتی ہیں۔
اگرچہ صارفین کوئی بھی زیادہ سمجھدار نہیں ہیں، سائبر کرائمین شوڈن یا سنسیس جیسے سرچ انجن کے ذریعے اپنے کمزور آلات کو اسکین کر سکتے ہیں۔ اس مسئلے کو یقینی طور پر سستی کے ساتھ پیچیدہ کیا جا سکتا ہے، جیسا کہ بِشوف نے نوٹ کیا، "حقیقت یہ ہے کہ Hikvision کیمرے باکس سے باہر چند پہلے سے طے شدہ پاس ورڈز میں سے ایک کے ساتھ آتے ہیں، اور بہت سے صارفین ان ڈیفالٹ پاس ورڈز کو تبدیل نہیں کرتے ہیں۔"
کمزور سیکورٹی، ناکافی مرئیت اور نگرانی کے درمیان، یہ واضح نہیں ہے کہ یہ دسیوں ہزار کیمرے کب محفوظ ہوں گے۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://threatpost.com/cybercriminals-are-selling-access-to-chinese-surveillance-cameras/180478/
- 000
- 10
- 100
- 11
- 2019
- 9
- a
- تک رسائی حاصل
- ایکٹ
- وکیل
- ملحقہ
- انتباہ
- پہلے ہی
- ہمیشہ
- اور
- اپلی کیشن
- مصنفین
- خودکار
- خود کار طریقے سے
- دستیاب
- باکس
- کیمروں
- یقینی طور پر
- تبدیل
- چینی
- تعاون
- کس طرح
- خیالات
- پر مشتمل ہے
- سکتا ہے
- ممالک
- اسناد
- اہم
- گاہکوں
- سی ای وی
- cybercriminals
- سائبر سیکیورٹی
- گہرا
- گہرا ویب
- تاریخ
- ڈیوڈ
- پہلے سے طے شدہ
- کے باوجود
- ترقی
- کے الات
- ڈیجیٹل
- ڈیجیٹل ٹیکنالوجی
- ڈائریکٹر
- دریافت
- نہیں
- ڈاؤن لوڈ، اتارنا
- ای میل
- انجن
- کا سامان
- کبھی نہیں
- دھماکہ
- ظاہر
- ناکام
- گر
- یفسیسی
- چند
- غلطی
- فارنکس
- فورمز
- پورا کریں
- مزید برآں
- حاصل
- دے دو
- دی
- اچھا
- گروپ کا
- ہیکروں
- ہانگجو
- HTTPS
- بہتری
- in
- شامل
- سمیت
- اضافہ
- اشارہ کرتا ہے
- اشارہ
- افراد
- صنعت
- انسٹال
- انٹیلی جنس
- IOT
- آئی ٹی آلات
- IT
- لیبل
- چھوڑ دو
- چھوڑ کر
- امکان
- تلاش
- بہت
- دستی طور پر
- ڈویلپر
- بہت سے
- پیغام
- شاید
- قومی
- تقریبا
- ضرورت ہے
- اگلے
- نیسٹ
- کا کہنا
- پیش کرتے ہیں
- ایک
- تنظیمیں
- نگرانی
- مجموعی جائزہ
- پاس ورڈز
- پیچ
- پال
- انجام دیں
- فون
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- ممکنہ طور پر
- کی رازداری
- مسئلہ
- مصنوعات
- ڈال
- درجہ بندی
- وجوہات
- رہے
- رپورٹ
- محققین
- انکشاف
- رسک
- روسی
- فروخت
- اسکین
- تلاش کریں
- تلاش کے انجن
- محفوظ بنانے
- محفوظ
- سیکورٹی
- فروخت
- سینئر
- مختصر
- اشارہ
- سادہ
- بعد
- So
- سافٹ ویئر کی
- مخصوص
- خاص طور پر
- سرکاری
- بیان
- امریکہ
- خبریں
- کہانی
- براہ راست
- اس طرح
- نگرانی
- نظام پسند
- ٹیکنالوجی
- ۔
- دنیا
- ان
- ہزاروں
- خطرہ
- وقت
- کرنے کے لئے
- آج
- ہمیں
- متحدہ
- ریاست ہائے متحدہ امریکہ
- غیر محفوظ
- اپ ڈیٹ کریں
- صارفین
- اس بات کی تصدیق
- کی طرف سے
- ویڈیو
- کی نمائش
- نقصان دہ
- خطرے کا سامنا
- قابل اطلاق
- ویب
- جس
- جبکہ
- گے
- کے اندر
- دنیا
- سال
- تم
- اور
- زیفیرنیٹ
