安全研究人員發(fā)現(xiàn)有超過8萬臺海康威視攝像頭受到CVE-2021-36260漏洞的影響。CVE-2021-36260漏洞是一個命令注入漏洞,攻擊者利用該漏洞可以發(fā)送偽造的消息給有漏洞的web服務(wù)器以實(shí)現(xiàn)命令注入。海康威視已于2021年9月通過固件更新修復(fù)了該漏洞。
但CYFIRMA研究人員發(fā)現(xiàn)分布在100個國家和地區(qū)的2300個組織內(nèi)的數(shù)萬設(shè)備仍然沒有應(yīng)用更新修復(fù)漏洞。
2021年10月和2022年2月,黑客分別公開了2個CVE-2021-36260的漏洞利用,攻擊者利用公開的漏洞利用不需要非常高深的技術(shù)就可以攻擊有漏洞的攝像頭。
2021年12月,基于Mirai的僵尸網(wǎng)絡(luò)'Moobot'就使用該漏洞利來進(jìn)行傳播,并將受影響的系統(tǒng)加入到DDoS僵尸網(wǎng)絡(luò)中。
2022年1月,美國CISA將CVE-2021-36260加入到已知漏洞利用列表中,警告企業(yè)有攻擊者正利用該漏洞來控制設(shè)備,并建議用戶盡快修復(fù)。
漏洞利用
CYFIRMA 稱,有俄語黑客論壇正在出售依賴有漏洞的海康威視攝像頭作為網(wǎng)絡(luò)攻擊入口點(diǎn),有漏洞的攝像頭可以用于僵尸網(wǎng)絡(luò)或其他攻擊活動。
圖 俄語論壇出售的樣本
研究人員分析了28.5萬聯(lián)網(wǎng)的海康威視web服務(wù)器樣本,發(fā)現(xiàn)有約8萬臺設(shè)備仍然未修復(fù)漏洞,處于風(fēng)險中。
這些有漏洞的設(shè)備大多數(shù)位于中國和美國,越南、英國、烏克蘭、泰國、南非、法國、羅馬尼亞等國有漏洞的設(shè)備總計(jì)超過2000臺。
圖 有漏洞的設(shè)備分布圖
弱口令
除了命令注入漏洞外,研究人員還發(fā)現(xiàn)了海康威視設(shè)備中的弱口令。有許多設(shè)備使用海康威視的默認(rèn)口令,在使用時被進(jìn)行初始密碼修改。Bleeping Computer研究人員發(fā)現(xiàn)在黑客論壇上有許多包含海康威視攝像頭實(shí)時視頻流憑證信息的帖子,有的帖子甚至是免費(fèi)的。
圖 黑客論壇分享的被入侵的海康威視終端
研究人員建議海康威視用戶安裝最新的固件更新,使用強(qiáng)口令,使用防火墻或VLAN將IoT網(wǎng)絡(luò)與其他固定資產(chǎn)隔離開。
完整報(bào)告下載地址:https://www.cyfirma.com/hikvision-surveillance-cameras-vulnerabilities/
參考及來源:https://www.bleepingcomputer.com/news/security/over-80-000-exploitable-hikvision-cameras-exposed-online/
