-
09/04/2020
-
93
-
600 bài viết
Hơn 80.000 camera Hikvision có thể bị tấn công nếu không cập nhật ngay!
Các nhà nghiên cứu đã phát hiện hơn 80.000 thiết bị camera Hikvision bị ảnh hưởng bởi lỗ hổng command injection nghiêm trọng từng gây ra "sóng gió" trước đây.
Không ai khác chính là CVE-2021-36260 (điểm CVSS 9,8), lỗ hổng có thể dễ dàng bị khai thác thông qua các tin nhắn được tạo đặc biệt gửi đến máy chủ web tồn tại lỗ hổng.Lỗi này đã được Hikvision giải quyết thông qua bản cập nhật firmware vào tháng 9 năm 2021. Tuy nhiên, theo báo cáo chính thức do CYFIRMA công bố, hàng chục nghìn hệ thống được sử dụng bởi 2.300 tổ chức trên 100 quốc gia vẫn chưa áp dụng bản cập nhật mới này.
Đã có hai bộ khai thác lỗ hổng CVE-2021-36260 được công khai. Lần đầu tiên vào tháng 10 năm 2021 và lần thứ hai vào tháng 2 năm 2022. Bất cứ kẻ tấn công nào đều có thể tìm kiếm và khai thác các thiết bị camera này.
Tháng 12 năm 2021, một mạng botnet dựa trên Mirai có tên 'Moobot' đã sử dụng bộ khai thác để lây nhiễm và DDoS hệ thống (từ chối dịch vụ phân tán).
Tháng 1 năm 2022, CISA cảnh báo CVE-2021-36260 nằm trong danh sách các lỗi bị khai thác tích cực. Những kẻ tấn công có thể chiếm quyền kiểm soát thiết bị nên hãy vá lỗi ngay lập tức.
Lỗ hổng dễ bị khai thác
CYFIRMA cho biết các diễn đàn hacker nói tiếng Nga thường bán các điểm truy cập mạng dựa vào camera Hikvision tồn tại lỗ hổng để sử dụng cho "botnetting" hoặc xâm nhập vào các máy ngang hàng trong hệ thống.Các điểm truy cập được bán trên các diễn đàn của Nga
Trong một mẫu phân tích gồm 285.000 máy chủ web Hikvision sử dụng Internet, công ty an ninh mạng đã phát hiện khoảng 80.000 thiết bị dễ bị khai thác, hầu hết ở Trung Quốc, Hoa Kỳ, Việt Nam, Anh, Ukraine, Thái Lan, Nam Phi, Pháp, Hà Lan và Romania.
Khu vực các camera Hikvision dễ bị tấn công
Mặc dù việc khai thác lỗ hổng CVE-2021-36260 hiện nay không theo một mô hình cụ thể nào, CYFIRMA vẫn dồn nghi vấn cho các nhóm tấn công Trung Quốc APT41 và APT10, cũng như các nhóm tin tặc Nga chuyên về gián điệp mạng.
Mật khẩu yếu cũng là một nguyên nhân
Ngoài lỗ hổng command injection, mật khẩu yếu cũng là một nguyên nhân khiến các thiết bị camera dễ bị tấn công khi người dùng cài đặt “tùy hứng” hoặc để mặc định, quên thay đổi.Thành viên trên diễn đàn chia sẻ các endpoint Hikvision bị bẻ khóa
Nếu đang sử dụng camera Hikvision, người dùng nên ưu tiên cài đặt bản cập nhật mới nhất hiện nay, sử dụng mật khẩu mạnh và cách ly mạng IoT khỏi các chương trình quan trọng bằng cách sử dụng tường lửa hoặc VLAN.
Theo Bleeping Computer