Tiotusentals Hikvision-kameror lämnas exponerade online med en bugg som kan tillåta angripare att på distans injicera skadlig kod och så småningom ta kontroll över nätverket.
Detta upptäcktes av CYFIRMA-forskare, som analyserade mer än 285 000 Hikvision-servrar mot Internet och fann att mer än 80 000 var sårbara. Även om Hikvision släppte en patch för denna bugg i september förra året, har tusentals organisationer ännu inte tillämpat den.
Säkerhetssårbarhet i Hikvision-kameror
Hikvision är en av de ledande kinesiska tillverkarna av övervakningskameror som riktar sig till organisationer för att skydda sina platser. Systemadministratörer som hanterar dessa måste vara aktiva i att korrigera alla kända sårbarheter, eftersom hackning i säkerhetskameror kan orsaka oavsiktliga konsekvenser för den bredare verksamheten om de är anslutna till nätverket.
Och detta är vad CYFIRMA-forskare varnade, som i en vitbok konstaterade att mer än 80 000 Hikvision-kameror är sårbara för hackare! De pratar om CVE-2021-36260, en sårbarhet för fjärrkommandeinjektion som tillverkaren kände igen förra året och även släppte en patch.
Men cirka 2 300 organisationer i 100 länder har fortfarande tillämpat denna patch, säger CYFIRMA-forskare. De noterade också två kända offentliga utnyttjande av denna bugg: en publicerad i oktober 2021 och den andra i februari 2022.
Dessa ledde till många hotaktörer, inklusive ett Mirai-baserat botnät som heter ‘Moobot‘, för att utnyttja sårbara kameror och lägga till dem i deras DDoS-listor. I januari 2022 noterade CISA till och med att CVE-2021-36260 var en av de aktivt utnyttjade buggarna och uppmanade människor att korrigera.
Det finns dock fortfarande över 80 000 Hikvision-webbservrar online med denna sårbarhet, svaga lösenord eller standardinloggningsuppgifter inställda vid konfigurationstillfället. De flesta finns i Kina och USA, medan Vietnam, Storbritannien, Ukraina, Thailand, Sydafrika, Frankrike, Nederländerna och Rumänien hamnar på topp 10-listan.
Varnar människor för möjliga attacker, Forskarna rådde folk att tillämpa patchuppdateringen omedelbart, ange ett starkt lösenord och isolera IoT-nätverket från andra kritiska företagstillgångar med hjälp av en brandvägg eller VLAN.
