ИБ-исследователи сообщают, что в сети можно найти более 80 000 камер Hikvision, уязвимых перед критическим багом, связанным с внедрением команд. Проблему легко эксплуатировать при помощи специально подготовленных сообщений, отправляемых на уязвимый веб-сервер.
О проблеме рассказали эксперты из компании CYFIRMA. По их словам, уязвимость CVE-2021-36260 была обнаружена и устранена разработчиками Hikvision с помощью обновления прошивки еще в сентябре 2021 года. Однако, к сожалению, эти обновления по-прежнему не получили десятки тысяч устройств, используемые в 2300 организациях в 100 странах мира.
В настоящее время для CVE-2021-36260 уже доступны два эксплоита. Первый был опубликован в еще октябре 2021 года, второй – в феврале текущего года. Из-за этого уязвимые камеры могут атаковать даже злоумышленники, которые не отличаются особенно высоким уровнем технической подготовки.
Проблема CVE-2021-36260 и ранее использовалась в атаках. К примеру, в декабре прошлого года ее взял на вооружение Mirai-ботнет Moobot, заражая уязвимые камеры и используя их для DDoS-атак. В январе 2022 года Агентство по инфраструктуре и кибербезопасности США (CISA) предупреждало, что эта уязвимость входит в перечень активно эксплуатируемых ошибок, и злоумышленники могут «взять под контроль» проблемные устройства.
Как теперь пишут эксперты CYFIRMA, в настоящее время на русскоязычных хак-форумах часто можно встретить предложения по продаже доступов, в основе которых лежат взломанные камеры Hikvision. Их предлагается использовать либо для построения ботнета, либо для бокового перемещения по сети целевой компании.
Проанализировав выборку из 285 000 веб-серверов Hikvision, подключенных к интернету, исследователи обнаружили, что около 80 000 из них все еще уязвимы для эксплуатации. Большинство из них расположены в Китае и США, а во Вьетнаме, Великобритании, Украине, Таиланде, Южной Африке, Франции, Нидерландах и Румынии насчитывается более 2000 уязвимых эндпоинтов.
Хотя в целом эксплуатация уязвимости в настоящее время осуществляется по-разному (так как ее атакуют несколько групп злоумышленников), исследователи заявляют, что баг эксплуатируют несколько китайских хак-групп, включая APT41 и APT10, а также российские группировки, специализирующиеся на кибершпионаже.
Также отмечается, что помимо упомянутой уязвимости у камер Hikvision существует проблема слабых паролей, которые либо устанавливают сами пользователи, либо они заданы «из коробки» и не сбрасываются при первой настройке. Журналисты издания Bleeping Computer отмечают, что без труда нашли на хакерских форумах несколько списков с учетными данными (некоторые из них вообще были бесплатными) для доступа в видеотрансляциям с камер Hikvision.