Çoğu Amerika Birleşik Devletleri’nde olmak üzere dünya çapında yaklaşık 2.300 kuruluş, Hikvision IP video kameralarında geçen yıl açıklanan, bilinen bir kritik uzaktan kod yürütme (RCE) güvenlik açığı nedeniyle büyük risk altında olmaya devam ediyor.
Böcek (CVE-2021-36260), birkaç Hikvision kamerasının Web sunucusunda bulunan bir komut ekleme güvenlik açığıdır. Saldırganlar, kusuru keşfeden araştırmacıya göre, etkilenen bir cihaza tam kök kabuğu erişimi elde etmelerini sağlayan komutları başlatmak için güvenlik açığından yararlanabilir – bu, sahiplerin bile sahip olmadığı bir şey.
Yama uygulanmamış cihazları kullanan kuruluşlar, ağdan ödün verme ve hatta potansiyel olarak fiziksel saldırı riski altındadır; Saldırganlar, etkilenen Hikvision kameralarının tam kontrolünü ele geçirmek için sıfır tıklama güvenlik açığını kullanabilir. Oradan, fiziksel bir ihlalden önce bunları devre dışı bırakabilir veya bağlı kurumsal ağları ihlal etmek, bunlara hizmet reddi saldırıları başlatmak, bir botnet’e eklemek, veri çalmak ve diğer kötü niyetli eylemleri gerçekleştirmek için kullanabilirler.
“Bu, kritik güvenlik açığının en yüksek seviyesidir – çok sayıda Hikvision kamerasını etkileyen sıfır tıklamayla kimliği doğrulanmamış uzaktan kod yürütme (RCE) güvenlik açığı. Bağlı dahili ağlar risk altında” hata raporuna göre.
Ürün yazılımı güvenlik açığı Haziran 2021’de keşfedildi ve donanım satıcısına bildirildi ve ardından geçen Eylül ayında bunun için bir yama yayınladı. Bununla birlikte, yaklaşık bir yıl sonra, kullanıcıları en azından bazı federal sivil kurumları içeren on binlerce etkilenen cihaz, güvenlik açığına karşı yama yapılmamış durumda.
Hikvision Kamera Analizi
Cyfirma’dan araştırmacılar yakın zamanda 285.000 internete bakan Hikvision kamera örneğini analiz ettiler ve bunlardan 80.000 kadarını buldular. hala güvenlik açığı yoluyla istismara açık.
En fazla sayıda savunmasız cihaza sahip ülkeler Çin (12.690), ABD (10.611) ve Vietnam (7.394) oldu. Çok sayıda savunmasız Hikvision kamerasına sahip diğer ülkeler arasında Birleşik Krallık, Ukrayna, Tayland ve Güney Afrika yer alıyor. Kameralar, bu ve diğer ülkelere dağılmış 2.300’den fazla kuruluşa aittir.
onun içinde güvenlik açığı ifşası Geçen Eylül ayında Hikvision, düzinelerce ürününü güvenlik açığından etkilenmiş olarak listeledi – bazıları 2016’ya kadar uzanıyor. Şirket, kusuru düzeltmek ve kusuru hedefleyen olası saldırılara karşı korunmak için etkilenen Hikvision kameralarını kullanan kuruluşları güncellenmiş ürün yazılımı yüklemeye çağırdı.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) kataloğuna CVE-2021-36260’ı ekledi Bu yıl 10 Ocak’ta bilinen açıklardan yararlanılan güvenlik açıkları ve Hikvision kameralarını kullanan federal kurumların ürün yazılımı güncellemelerini 24 Ocak’a kadar yüklemesini gerektirdi.
Cyfirma’ya göre, kusurun açıklanmasından yaklaşık bir yıl sonra, saldırganların buna olan ilgisi hala yüksek. Güvenlik sağlayıcısı, tehdit aktörlerinin kusurdan yararlanmak için birbirleriyle işbirliği yapmaya çalıştığı birden fazla örneği gözlemlediğini söyledi.
Cyfirma, “Özellikle Rus forumlarında, satışa sunulan Hikvision kamera ürünlerinin sızdırılmış kimlik bilgilerini gözlemledik.” Dedi. “Bunlar, bilgisayar korsanları tarafından cihazlara erişmek ve bir kuruluşun ortamını hedef almak için saldırı yolunu daha fazla kullanmak için kullanılabilir.” Cyfirma, APT41 ve APT10 dahil olmak üzere birkaç Çinli tehdit aktörünün de mümkün olduğunda hedef ağları ihlal etmek için güvenlik açığından yararlanmaya çalıştığına inanmak için nedenleri olduğunu kaydetti.
Bu haftaki bir blog yazısında, güvenlik sağlayıcısı Malwarebytes, yayınlanmış birkaç kavram kanıtı göz önüne alındığında, düşmanların istismara karşı çok az engeli olduğunu belirtti. Bunlar arasında, geçen Ekim ayında Packet Storm’da yayınlanan potansiyel bir istismar; Packet Storm’un bu Şubat ayında yayınladığı CVE-2021-36260 tabanlı bir Metasploit modülü; ve Hikvision güvenlik açığı yoluyla yayılan Moobot adlı bir Mira botnet varyantının raporları.
“Mevcut bilginin miktarı göz önüne alındığında, bir ‘kopyala ve yapıştır suçlu’ için bile önemsiz yama uygulanmamış kameraları kullanmak için,” diye uyardı Malwarebytes.
Kusuru keşfeden araştırmacı – “Watchful_IP” tanıtıcısını kullanan – güvenlik açığını istismar etmek için önemsiz olarak nitelendirdi, saldırganlara tam uzaktan kontrol alma yeteneği vermek Hikvision kameralarının çoğu, genellikle 80/443 olan kameranın http(s) sunucu bağlantı noktasına erişerek.
“Kullanıcı adı veya şifre yok [is] güvenlik araştırmacısı geçen yıl yaptığı ilk güvenlik açığı açıklamasında gözlemledi ve “kamera sahibi tarafından herhangi bir işlem başlatılmasına gerek yok” dedi.
Video kameralar ve bina yönetim sistemlerinden tıbbi, endüstriyel kontrol sistemleri (ICS) ve operasyonel teknoloji (OT) ağlarındaki kritik İnternet bağlantılı sistemlere kadar herhangi bir şey olabilen IoT cihazlarındaki güvenlik açıkları, kurumsal kuruluşlar için büyüyen bir zorluk teşkil ediyor. Claroty’den bu hafta yayınlanan yeni bir raporda, yıllık %57 artış IoT ürünlerini içeren güvenlik açığı açıklamalarında.
Güvenlik sağlayıcısının araştırması, ilk kez Hikvision kameralarında olduğu gibi açıklanan ürün yazılımı güvenlik açıklarının yüzdesinin, yazılım güvenlik açıklarının yüzdesiyle neredeyse aynı olduğunu gösterdi – %46’ya karşı %48. Ayrıca, tıbbi IoT cihazlarındaki IoT güvenlik açıkları ve güvenlik açıklarının birleşik sayısı da ilk kez BT güvenlik açıklarını aştı. Claroty şunları kaydetti: “Bu, satıcıların ve araştırmacıların, daha derin ağ penetrasyonuna açılan bir geçit olabileceğinden, bu bağlı cihazları güvenli hale getirme konusunda gelişmiş anlayışa işaret ediyor.”