Mais de 80.000 câmeras Hikvision exploráveis ​​expostas online

Pesquisadores de segurança descobriram mais de 80.000 câmeras Hikvision vulneráveis ​​a uma falha crítica de injeção de comando que é facilmente explorável por meio de mensagens especialmente criadas enviadas ao servidor web vulnerável.

A falha é rastreada como CVE-2021-36260 e foi abordada pela Hikvision por meio de uma atualização de firmware em setembro de 2021.

No entanto, de acordo com um whitepaper publicado pela CYFIRMA, dezenas de milhares de sistemas usados ​​por 2.300 organizações em 100 países ainda não aplicaram a atualização de segurança.

Houve duas explorações públicas conhecidas para CVE-2021-36260, uma publicada em outubro de 2021 e a segunda em fevereiro de 2022 , para que os agentes de ameaças de todos os níveis de habilidade possam procurar e explorar câmeras vulneráveis.

Em dezembro de 2021, um botnet baseado em Mirai chamado ‘Moobot’ usou a exploração específica para se espalhar agressivamente e inscrever sistemas em enxames de DDoS (negação de serviço distribuído).

Em janeiro de 2022, a CISA alertou que o CVE-2021-36260 estava entre os bugs ativamente explorados na lista então publicada, alertando as organizações de que os invasores poderiam “assumir o controle” dos dispositivos e corrigir a falha imediatamente.

Vulnerável e explorado

A CYFIRMA diz que os fóruns de hackers de língua russa geralmente vendem pontos de entrada de rede com base em câmeras Hikvision exploráveis ​​que podem ser usadas para “botnetting” ou movimento lateral.

De uma amostra analisada de 285.000 servidores da Web Hikvision voltados para a Internet, a empresa de segurança cibernética encontrou cerca de 80.000 ainda vulneráveis ​​à exploração.

A maioria deles está localizada na China e nos Estados Unidos, enquanto Vietnã, Reino Unido, Ucrânia, Tailândia, África do Sul, França, Holanda e Romênia contam acima de 2.000 endpoints vulneráveis.

Embora a exploração da falha não siga um padrão específico no momento, uma vez que vários atores de ameaças estão envolvidos nesse esforço, a CYFIRMA destaca os casos dos grupos de hackers chineses APT41 e APT10, bem como grupos de ameaças russos especializados em ciberespionagem.

Um exemplo que eles dão é uma campanha de ciberespionagem chamada “think pocket”, que tem como alvo um produto de conectividade popular usado em uma variedade de indústrias em todo o mundo desde agosto de 2021.

“A partir de uma analogia com o External Threat Landscape Management (ETLM), cibercriminosos de países que podem não ter uma relação cordial com outras nações podem usar os produtos vulneráveis ​​da câmera Hikvision para lançar uma guerra cibernética com motivação geopolítica”, explica CYFIRMA no whitepaper .

Senhas fracas também são um problema

Além da vulnerabilidade de injeção de comando, há também o problema de senhas fracas que os usuários definem por conveniência ou que vêm com o dispositivo por padrão e não são redefinidas durante a primeira configuração.

O Bleeping Computer detectou várias ofertas de listas, algumas até gratuitas, contendo credenciais para feeds de vídeo ao vivo da câmera Hikvision em fóruns de hackers da clearnet.

Se você opera uma câmera Hikvision, deve priorizar a instalação da atualização de firmware mais recente disponível , usar uma senha forte e isolar a rede IoT de ativos críticos usando um firewall ou VLAN.

João Marcelo de Assis Peres

joao.marcelo@guiadocftv.com.br

GuiadoCFTV

Avalie esta notícia, mande seus comentários e sugestões. Encontrou alguma informação incorreta ou algum erro no texto?

Importante: ‘Todos os Conteúdos divulgados decorrem de informações provenientes das fontes aqui indicadas, jamais caberá ao Guia do CFTV qualquer responsabilidade pelo seu conteúdo, veracidade e exatidão. Tudo que é divulgado é de exclusiva responsabilidade do autor e ou fonte redatora.’

Quer enviar suas notícias? Envie um e-mail para noticias@guiadocftv.com.br