网络犯罪分子正在出售中国监控摄像头的使用权

全新 研究 表明当今世界上超过 80,000 台海康威视监控摄像头容易受到 11 个月大的命令注入漏洞的攻击。

海康威视——杭州海康威视数字技术的简称——是一家中国国有视频监控设备制造商。 他们的客户遍布 100 多个国家（包括美国，尽管 FCC 在 2019 年将海康威视标记为“对美国国家安全构成不可接受的风险”）。

去年秋天，海康威视摄像机中的命令注入漏洞被揭露为 CVE-2021-36260. 该漏洞被 NIST 评为 9.8 分（满分 10 分）。

尽管该漏洞非常严重，而且这个故事已经过去了将近一年，但仍有超过 80,000 台受影响的设备未打补丁。 从那以后，研究人员发现了“多个黑客希望合作利用命令注入漏洞利用海康威视摄像头的实例”，特别是在俄罗斯暗网论坛中，泄露的凭据已被出售。

已经造成的损害程度尚不清楚。 该报告的作者只能推测，“MISSION2025/APT41、APT10 及其附属机构等中国威胁组织以及未知的俄罗斯威胁组织可能会利用这些设备中的漏洞来实现其动机（可能包括特定的地理-政治考虑）。”

物联网设备的风险

有了这样的故事，很容易将懒惰归咎于未打补丁的个人和组织。 但故事并不总是那么简单。

根据 Cybrary 威胁情报高级主管 David Maynor 的说法，海康威视的摄像机由于多种原因一直很容易受到攻击，而且已经有一段时间了。 “他们的产品包含易于利用的系统漏洞，或者更糟糕的是，使用默认凭据。 没有很好的方法来执行取证或验证攻击者是否已被删除。 此外，我们没有观察到海康威视的姿态有任何变化，表明其开发周期内的安全性有所提高。”

很多问题是行业特有的，不仅仅是海康威视。 Comparitech 的隐私倡导者 Paul Bischoff 通过电子邮件在一份声明中写道：“像相机这样的物联网设备并不总是像手机上的应用程序那样容易或直接地保护起来。” “更新不是自动的； 用户需要手动下载和安装它们，许多用户可能永远不会收到消息。 此外，物联网设备可能不会向用户提供任何不安全或过时的迹象。 虽然您的手机会在有可用更新时提醒您，并且可能会在您下次重启时自动安装，但物联网设备并没有提供这样的便利。”

虽然用户并不聪明，但网络犯罪分子可以使用 Shodan 或 Censys 等搜索引擎扫描易受攻击的设备。 正如 Bischoff 指出的那样，这个问题当然会因懒惰而变得更加复杂，“事实上，海康威视摄像机附带了几个开箱即用的预定密码之一，而且许多用户不会更改这些默认密码。”

在安全性薄弱、可见性不足和监督不足的情况下，尚不清楚这些数以万计的摄像机何时或是否会得到保护。