Güvenlik araştırmacıları, güvenlik açığı bulunan web sunucusuna gönderilen özel hazırlanmış mesajlar yoluyla kolayca yararlanılabilen kritik bir komut enjeksiyon kusuruna karşı savunmasız 80.000’den fazla Hikvision kamerası keşfetti.
Kusur CVE-2021-36260 olarak izleniyor ve Hikvision tarafından Eylül 2021’de bir ürün yazılımı güncellemesi ile giderildi.
Ancak CYFIRMA tarafından yayınlanan bir teknik incelemeye göre, 100 ülkede 2.300 kuruluş tarafından kullanılan on binlerce sistem güvenlik güncellemesini hala uygulamadı.
CVE-2021-36260 için bilinen iki açık açık vardır ve bunlardan biri şurada yayınlanmıştır: Ekim 2021 ve içinde ikinci Şubat 2022böylece tüm beceri seviyelerindeki tehdit aktörleri savunmasız kameraları arayabilir ve kullanabilir.
Aralık 2021’de, ‘Moobot’ adlı Mirai tabanlı bir botnet, söz konusu açıklardan faydalanmak için kullandı. agresif bir şekilde yayılmak ve sistemleri DDoS (dağıtılmış hizmet reddi) sürülerine dahil edin.
Ocak 2022’de CISA, CVE-2021-36260’ın aşağıdakiler arasında olduğu konusunda uyardı. aktif olarak yararlanılan hatalar Daha sonra yayınlanan listede, kuruluşları saldırganların cihazların “kontrolünü ele geçirebilecekleri” ve kusuru derhal düzeltmeleri konusunda uyarıyor.
Savunmasız ve sömürülmüş
CYFIRMA, Rusça konuşan bilgisayar korsanlığı forumlarının genellikle “botnet” veya yanal hareket için kullanılabilen sömürülebilir Hikvision kameralarına dayanan ağ giriş noktaları sattığını söylüyor.
Siber güvenlik firması, internete bakan 285.000 Hikvision web sunucusunun analiz edilen bir örneğinden kabaca 80.000’inin hala istismara açık olduğunu buldu.
Bunların çoğu Çin ve Amerika Birleşik Devletleri’nde bulunurken, Vietnam, Birleşik Krallık, Ukrayna, Tayland, Güney Afrika, Fransa, Hollanda ve Romanya’nın tümü 2.000’in üzerinde savunmasız uç nokta olarak sayılıyor.
Açıklığın istismarı şu anda belirli bir model izlemese de, bu çabaya birden fazla tehdit aktörü dahil olduğundan, CYFIRMA, Çinli hack grupları APT41 ve APT10’un yanı sıra siber casuslukta uzmanlaşmış Rus tehdit gruplarının vakalarının altını çiziyor.
Verdikleri bir örnek, Ağustos 2021’den bu yana dünya çapında bir dizi endüstride kullanılan popüler bir bağlantı ürününü hedefleyen “düşünme cebi” adlı bir siber casusluk kampanyasıdır.
“Dış Tehdit Peyzaj Yönetimi (ETLM) analojisinden, diğer ülkelerle samimi bir ilişkisi olmayan ülkelerden gelen siber suçlular, jeopolitik olarak motive edilmiş bir siber savaş başlatmak için savunmasız Hikvision kamera ürünlerini kullanabilir.” teknik incelemede CYFIRMA’yı açıklar.
Zayıf şifreler de sorun
Komut ekleme güvenlik açığının yanı sıra, kullanıcıların kolaylık sağlamak için belirledikleri veya varsayılan olarak cihazla birlikte gelen ve ilk kurulum sırasında sıfırlanmayan zayıf parolalar sorunu da vardır.
Bleeping Computer, clearnet hack forumlarında Hikvision kamera canlı video yayınları için kimlik bilgilerini içeren, bazıları ücretsiz olan birden fazla liste teklifi tespit etti.
Bir Hikvision kamera kullanıyorsanız, en yenisini kurmayı bir öncelik haline getirmelisiniz. mevcut üretici yazılımı güncellemesigüçlü bir parola kullanın ve bir güvenlik duvarı veya VLAN kullanarak IoT ağını kritik varlıklardan ayırın.