安全研究人員發現有超過8萬臺海康威視攝像頭受到CVE-2021-36260漏洞的影響。CVE-2021-36260漏洞是一個命令注入漏洞,攻擊者利用該漏洞可以發送偽造的消息給有漏洞的web服務器以實現命令注入。海康威視已于2021年9月通過固件更新修復了該漏洞。
但CYFIRMA研究人員發現分布在100個國家和地區的2300個組織內的數萬設備仍然沒有應用更新修復漏洞。
2021年10月和2022年2月,黑客分別公開了2個CVE-2021-36260的漏洞利用,攻擊者利用公開的漏洞利用不需要非常高深的技術就可以攻擊有漏洞的攝像頭。
2021年12月,基于Mirai的僵尸網絡'Moobot'就使用該漏洞利來進行傳播,并將受影響的系統加入到DDoS僵尸網絡中。
2022年1月,美國CISA將CVE-2021-36260加入到已知漏洞利用列表中,警告企業有攻擊者正利用該漏洞來控制設備,并建議用戶盡快修復。
漏洞利用
CYFIRMA 稱,有俄語黑客論壇正在出售依賴有漏洞的海康威視攝像頭作為網絡攻擊入口點,有漏洞的攝像頭可以用于僵尸網絡或其他攻擊活動。
圖 俄語論壇出售的樣本
研究人員分析了28.5萬聯網的海康威視web服務器樣本,發現有約8萬臺設備仍然未修復漏洞,處于風險中。
這些有漏洞的設備大多數位于中國和美國,越南、英國、烏克蘭、泰國、南非、法國、羅馬尼亞等國有漏洞的設備總計超過2000臺。
圖 有漏洞的設備分布圖
弱口令
除了命令注入漏洞外,研究人員還發現了海康威視設備中的弱口令。有許多設備使用海康威視的默認口令,在使用時被進行初始密碼修改。Bleeping Computer研究人員發現在黑客論壇上有許多包含海康威視攝像頭實時視頻流憑證信息的帖子,有的帖子甚至是免費的。
圖 黑客論壇分享的被入侵的海康威視終端
研究人員建議海康威視用戶安裝最新的固件更新,使用強口令,使用防火墻或VLAN將IoT網絡與其他固定資產隔離開。
完整報告下載地址:https://www.cyfirma.com/hikvision-surveillance-cameras-vulnerabilities/
參考及來源:https://www.bleepingcomputer.com/news/security/over-80-000-exploitable-hikvision-cameras-exposed-online/
