安全研究人員發(fā)現(xiàn)有超過8萬臺(tái)?？低晹z像頭受到CVE-2021-36260漏洞的影響。CVE-2021-36260漏洞是一個(gè)命令注入漏洞，攻擊者利用該漏洞可以發(fā)送偽造的消息給有漏洞的web服務(wù)器以實(shí)現(xiàn)命令注入。?？低曇延?021年9月通過固件更新修復(fù)了該漏洞。

但CYFIRMA研究人員發(fā)現(xiàn)分布在100個(gè)國(guó)家和地區(qū)的2300個(gè)組織內(nèi)的數(shù)萬設(shè)備仍然沒有應(yīng)用更新修復(fù)漏洞。

• 2021年10月和2022年2月，黑客分別公開了2個(gè)CVE-2021-36260的漏洞利用，攻擊者利用公開的漏洞利用不需要非常高深的技術(shù)就可以攻擊有漏洞的攝像頭。
• 2021年12月，基于Mirai的僵尸網(wǎng)絡(luò)'Moobot'就使用該漏洞利來進(jìn)行傳播，并將受影響的系統(tǒng)加入到DDOS僵尸網(wǎng)絡(luò)中。
• 2022年1月，美國(guó)CISA將CVE-2021-36260加入到已知漏洞利用列表中，警告企業(yè)有攻擊者正利用該漏洞來控制設(shè)備，并建議用戶盡快修復(fù)。

漏洞利用

CYFIRMA 稱，有俄語黑客論壇正在出售依賴有漏洞的?？低晹z像頭作為網(wǎng)絡(luò)攻擊入口點(diǎn)，有漏洞的攝像頭可以用于僵尸網(wǎng)絡(luò)或其他攻擊活動(dòng)。

圖 俄語論壇出售的樣本

研究人員分析了28.5萬聯(lián)網(wǎng)的海康威視web服務(wù)器樣本，發(fā)現(xiàn)有約8萬臺(tái)設(shè)備仍然未修復(fù)漏洞，處于風(fēng)險(xiǎn)中。

這些有漏洞的設(shè)備大多數(shù)位于中國(guó)和美國(guó)，越南、英國(guó)、烏克蘭、泰國(guó)、南非、法國(guó)、羅馬尼亞等國(guó)有漏洞的設(shè)備總計(jì)超過2000臺(tái)。

圖 有漏洞的設(shè)備分布圖

弱口令

除了命令注入漏洞外，研究人員還發(fā)現(xiàn)了?？低曉O(shè)備中的弱口令。有許多設(shè)備使用?？低暤哪J(rèn)口令，在使用時(shí)被進(jìn)行初始密碼修改。Bleeping Computer研究人員發(fā)現(xiàn)在黑客論壇上有許多包含?？低晹z像頭實(shí)時(shí)視頻流憑證信息的帖子，有的帖子甚至是免費(fèi)的。

圖 黑客論壇分享的被入侵的?？低暯K端

研究人員建議海康威視用戶安裝最新的固件更新，使用強(qiáng)口令，使用防火墻或VLAN將IoT網(wǎng)絡(luò)與其他固定資產(chǎn)隔離開。

完整報(bào)告下載地址：https://www.cyfirma.com/hikvision-surveillance-cameras-vulnerabilities/

本文翻譯自：https://www.bleepingcomputer.com/news/security/over-80-000-exploitable-hikvision-cameras-exposed-online/