凌驾 80,000 台海康威视摄像机可轻松被黑客入侵
来自 CYFIRMA 的宁静研讨职员发觉凌驾 80,000 台海康威视摄像头遭到CVE-2021-36260紧张下令注入毛病的影响。该厂商在 2021 年 9 月处理了这个成绩,但仍多数万台装备尚未修补。打击者可以经过向易受打击装备上运转的 Web 办事器发送特制消息来使用该毛病。
该毛病是海康威视 IP 摄像头/NVR 固件中的一个未经身份验证的长程代码实行 (RCE) 毛病,它是由一名在线宁静研讨职员发觉的,其外号为“Watchful IP”。
“即使使用最新固件(停止 2021 年 6 月 21 日),海康威视迩来的大大多摄像机产物系列都容易遭到严峻的长程未经身份验证的代码实行毛病的影响。”
“这允许打击者使用不受限定的 root shell 取得对装备的完全控制权,这比装备一切者拥有的拜候权限要多得多,由于他们被限定在仅限的“受保护 shell”(psh)中,该 shell 将输入过滤到预界说的一组仅限的,主要是信息下令。”
在入侵 IP 摄像头后,打击者还可以使用被黑客入侵的装备拜候内里网络,从而对使用这些装备的基本办法构成风险。
研讨职员指出,使用该成绩不必要用户交互,打击者只必要拜候 http(s) 办事器端口(通常为 80/443)。
“鉴于在敏感地点摆设这些摄像机,即使是紧张基本办法也约莫面临风险,”该帖子持续说道。“不必要用户名或暗码,也不必要相机一切者倡导任何利用。任何登录摄像机本身都无法检测到它。”
专家证实,自 2016 年以来开发的每个固件都颠末测试,发觉存在毛病。
该毛病影响海康威视摄像机和 NVR,受影响产物列表已在需求商公布的宁静告示中公布。
“某些海康威视产物的 Web 办事器中存本人令注入毛病。由于输入验证不富裕,打击者可以使用该毛病经过发送一些带有恶意下令的消息来倡导下令注入打击。” 阅读 需求商的发起。
成绩的基本缘故是输入验证不敷。该毛病已于 6 月向需求商报告,该公司于 9 月 19 日后经过公布固件更新修复了该毛病。
自公开披露以来,CVE-2021-36260 的两个毛病使用分散于 2021 年 10 月 和 2022 年 2月公开公布。
这意味着要挟到场者很容易扫描 Internet 以查找易受打击的装备并对其举行毁坏。众所周知,该成绩在田野被积极使用,2021 年 12 月,Fortinet 研讨职员报告称,基于 Mirai 的僵尸网络Moobot正在使用一些海康威视产物的网络办事器中的毛病。
“在我们的分析历程中,我们察看到很多好效载荷试图使用此毛病来探测装备的形态或从遇害者那边提取敏感数据。一个好效载荷特别惹起了我们的注意。它试图删除一个体现出影响举动并实行 Moobot 的下载步骤,Moobot 是一个基于 Mirai 的 DDoS 僵尸网络。”
Fortinet 研讨职员发觉了一个带有“hikivision”参数的 Moobot 恶意软件下载器,它将终极好效载荷保存为“macHelper”。
该恶意软件还修正了“重启”等基本下令,以避免办理员重启受影响的装备。
CYFIRMA 的研讨职员在察看地下论坛的演化时,注意到多个黑客渴望互助使用 CVE-2021-36260 毛病使用海康威视摄像头。
研讨职员分析了停止 2022 年 7 月暴露在互联网上的约莫 28.5 万台海康威视 Web 办事器的样本。
使用海康威视相机产物的前 10 个国度(依据分析的样本)包含中国(12690)、美国(10611)和越南(7394)。列表中的其他国度是英国、乌克兰、泰国、南非、法国、荷兰和罗马尼亚。据专家先容,凌驾 2300 家使用海康威视摄像机的构造仍旧容易遭到打击。
消息泉源:
https://securityaffairs.co/wordpress/134756/security/hikvision-cameras-vulnerability.html
