Tội phạm mạng đang bán quyền truy cập vào camera giám sát của Trung Quốc

Mới nghiên cứu chỉ ra rằng hơn 80,000 camera giám sát Hikvision trên thế giới hiện nay dễ bị tấn công bởi một lỗi tiêm lệnh 11 tháng tuổi.

Hikvision - viết tắt của Hangzhou Hikvision Digital Technology - là nhà sản xuất thiết bị giám sát video thuộc sở hữu nhà nước của Trung Quốc. Khách hàng của họ trải dài hơn 100 quốc gia (bao gồm cả Hoa Kỳ, mặc dù FCC đã dán nhãn Hikvision là “một rủi ro không thể chấp nhận được đối với an ninh quốc gia của Hoa Kỳ” vào năm 2019).

Mùa thu năm ngoái, một lỗ hổng chèn lệnh trong camera Hikvision đã được tiết lộ với thế giới như CVE-2021-36260. Khai thác đã được NIST đánh giá "phê bình" 9.8 trên 10.

Mặc dù mức độ nghiêm trọng của lỗ hổng bảo mật, và gần một năm kể từ câu chuyện này, hơn 80,000 thiết bị bị ảnh hưởng vẫn chưa được vá. Trong thời gian kể từ đó, các nhà nghiên cứu đã phát hiện ra “nhiều trường hợp tin tặc tìm cách hợp tác khai thác camera Hikvision bằng cách sử dụng lỗ hổng chèn lệnh”, cụ thể là trên các diễn đàn web tối của Nga, nơi thông tin đăng nhập bị rò rỉ đã được rao bán.

Mức độ thiệt hại được thực hiện vẫn chưa rõ ràng. Các tác giả của báo cáo chỉ có thể suy đoán rằng “các nhóm mối đe dọa của Trung Quốc như MISSION2025 / APT41, APT10 và các chi nhánh của nó, cũng như các nhóm tác nhân đe dọa không xác định của Nga có thể khai thác lỗ hổng trong các thiết bị này để thực hiện động cơ của chúng (có thể bao gồm địa lý cụ thể cân nhắc chính trị). ”

Rủi ro trong các thiết bị IoT

Với những câu chuyện như thế này, thật dễ dàng gán ghép sự lười biếng cho những cá nhân và tổ chức khiến phần mềm của họ chưa được vá. Nhưng câu chuyện không phải lúc nào cũng đơn giản như vậy.

Theo David Maynor, giám đốc cấp cao về tình báo mối đe dọa tại Cybrary, camera Hikvision đã dễ bị tấn công vì nhiều lý do và trong một thời gian. “Sản phẩm của họ chứa các lỗ hổng hệ thống dễ khai thác hoặc tệ hơn là sử dụng thông tin đăng nhập mặc định. Không có cách nào tốt để thực hiện pháp y hoặc xác minh rằng kẻ tấn công đã bị loại bỏ. Hơn nữa, chúng tôi đã không quan sát thấy bất kỳ thay đổi nào trong tư thế của Hikvision để báo hiệu sự gia tăng bảo mật trong chu kỳ phát triển của họ ”.

Rất nhiều vấn đề là đặc hữu của ngành, không chỉ Hikvision. “Các thiết bị IoT như máy ảnh không phải lúc nào cũng bảo mật dễ dàng và đơn giản như một ứng dụng trên điện thoại của bạn”, Paul Bischoff, người ủng hộ quyền riêng tư của Comparitech, đã viết trong một tuyên bố qua email. “Cập nhật không tự động; người dùng cần tải xuống và cài đặt chúng theo cách thủ công và nhiều người dùng có thể không bao giờ nhận được thông báo. Hơn nữa, các thiết bị IoT có thể không cung cấp cho người dùng bất kỳ dấu hiệu nào cho thấy chúng không được bảo mật hoặc lỗi thời. Trong khi điện thoại của bạn sẽ thông báo cho bạn khi có bản cập nhật và có khả năng sẽ tự động cài đặt nó vào lần khởi động lại tiếp theo, các thiết bị IoT không cung cấp những tiện ích như vậy ”.

Trong khi người dùng không ai khôn ngoan hơn, tội phạm mạng có thể quét các thiết bị dễ bị tấn công của họ bằng các công cụ tìm kiếm như Shodan hoặc Censys. Vấn đề chắc chắn có thể kết hợp với sự lười biếng, như Bischoff đã lưu ý, “thực tế là các camera Hikvision đi kèm với một trong một số mật khẩu được xác định trước và nhiều người dùng không thay đổi các mật khẩu mặc định này”.

Giữa vấn đề an ninh yếu kém, không đủ khả năng hiển thị và giám sát, vẫn chưa rõ khi nào hoặc liệu hàng chục nghìn camera này sẽ được bảo mật.