一项新的研究发现,由于所有者未安装去年发布的固件更新,或者在首次设置设备时未更改默认密码,中国企业海康威视制造的八万多台闭路电视(CCTV)摄像机在网上裸奔。
研究发现海康威视摄像机未打补丁或未改默认密码
去年首次发现的漏洞CVE-2021-36260很容易遭到利用,攻击者向摄像机连接的脆弱Web服务器发送一条定制消息即可利用漏洞造成破坏。海康威视已于去年9月通过固件更新修复了这个问题,28万多台受影响摄像机的所有者均可获得并安装此更新。
网络安全公司CYFIRMA发布白皮书称,尽管已发现野生漏洞利用程序,但100个国家/地区的2300个组织仍未应用海康威视发布的固件更新修复这八万多台CCTV摄像机的系统。
其中一个漏洞利用程序在去年10月曝光,另一个于今年2月公开,黑客无需高深技术就能轻松使用漏洞利用程序,并在黑客论坛上大肆分享。去年12月,基于Mirai的僵尸网络利用此漏洞进行自我传播,并将遭感染系统纳入DDoS攻击大军。
CYFIRMA在白皮书中表示,有俄语论坛正在售卖依赖可利用海康威视摄像机的网络入口点,可供集结僵尸网络或横向移动到网络的其他部分。
网络战目标
CYFIRMA分析了28.5万台海康威视Web服务器,其中约8万台仍然容易遭到利用,这些脆弱设备虽然大多数位于中国和美国,但英国、乌克兰和法国亦存在此类有漏洞的设备。超过2000台终端因缺乏修复而暴露在网上。
多种黑客都在利用这个未修复的漏洞,因此没有什么特定的利用模式,但CYFIRMA表示,有证据表明黑客国家队亦参与其中,例如APT41和APT10,以及专门从事网络间谍活动的俄罗斯黑客。
英国脆弱摄像机数量第四多
未修复海康威视摄像机地理分布
数量排前10的国家/地区(2022年8月)
CYFIRMA在白皮书中写道:“尤其是在俄罗斯论坛上,我们观察到有人在售卖海康威视摄像机产品的被盗凭证。黑客可以利用这些凭证来访问设备,并进一步拓展攻击路径,侵入组织环境。”
此前,CYFIRMA曾观察到有黑客团伙利用一种流行的连接产品发起名为“think pocket”的网络间谍活动,针对美国、日本、英国和澳大利亚的电信、能源、国防、研究和政府部门等行业。使用海康威视漏洞利用程序的攻击与此网络间谍活动类似。
研究人员写道:“鉴于当前地缘政治驱动的网络战在全球范围内暗潮汹涌,我们猜测各民族国家支持的黑客组织会加强对关键基础设施、国家实体、国防部门等的网络攻击。”
“此类设备中的开放漏洞和端口只会加剧对目标组织及其国家经济与国家实力的影响,很有必要修复海康威视摄像机产品的软件漏洞,将之更新到最新版本。”
保留默认密码
漏洞并不是这些摄像机的所有者面临的唯一问题。很多人使用弱密码的事实也给了黑客可乘之机,有些情况下,用户甚至会保留默认密码,而不是遵照初始设置时的建议重置密码。
网络安全供应商ESET全球安全顾问Jake Moore表示,弱密码和容易被利用的漏洞问题相结合,形成了破坏力强大的“双重打击”。他向IT媒体Tech Monitor透露:“操作这些摄像机的人都应该立即安装最新的固件补丁,而且毋庸置疑,该用强密码。”
海康威视摄像机遍布全球,世界各地的政府和办公建筑中起码运行着上千万台,仅英国的建筑物里估计就有100万台。英国部署有海康威视摄像机的地点包括政府和公共物业。一直以来,英国都存在反对使用海康威视摄像机的声音,其部分原因是西方一贯造谣中国利用海康威视设备进行监视,此外有传言说该公司与中国政府关系密切。
最近,英国工作与养老金部(DWP)从其办公楼中拆除了海康威视设备,卫生和社会保健部也取消了与该公司的闭路电视合同。今年7月,英国上下两院67名议员呼吁在全国范围内封杀海康威视和另一家中国公司大华技术。
围绕此类公司的担忧不断加重,英国政府对此作出回应称:“政府非常重视英国公民、系统和机构的安全,采取了一系列措施审查种种安排的完整性”。
CYFIRMA白皮书
https://www.cyfirma.com/hikvision-surveillance-cameras-vulnerabilities/
来源:数世咨询