Kilka dni temu opublikowano ciekawy raport, z którego dowiadujemy się, że ponad 80 000 kamer Hikvision na świecie jest obecnie podatnych na błąd wstrzykiwania poleceń sprzed 11 miesięcy.
Hikvision to skrót od Hangzhou Hikvision Digital Technology, czyli nazwy państwowej chińskiej spółki produkującej sprzęt do monitoringu wideo. Lista jej klientów obejmuje ponad 100 krajów (w tym Stany Zjednoczone, pomimo oznaczenia przez FCC jako „niedopuszczalnego ryzyka dla bezpieczeństwa narodowego USA” w 2019 roku :)).
Zeszłej jesieni błąd wstrzykiwania poleceń w kamerach Hikvision został przedstawiony światu jako CVE-2021-36260. Exploit otrzymał ocenę krytyczną – 9,8 na 10 w skali NIST, co oznacza, że jest banalnie prosty do wykorzystania i niesie ogromne ryzyko całkowitego przejęcia kontroli nad urządzeniem.
Pomimo ważności tej luki i faktu, iż od jej odkrycia minął prawie rok, ponad 80 000 dotkniętych nią urządzeń wciąż nie zostało załatanych. Przez cały ten czas słychać o tym, że hakerzy chcą współpracować przy wykorzystywaniu kamer Hikvision i opisywanej podatności. Na rosyjskich forach w dark web ujawnione zostały dane uwierzytelniające do miejskich kamer w wielu metropoliach. Te bardziej wrażliwe dostępy są sprzedawane za tysiące dolarów.
Skala wyrządzonych szkód nie jest znana. Autorzy raportu spekulują jedynie, że chińskie grupy APT takie jak MISSION2025/APT41, APT10 i ich podmioty stowarzyszone, a także nieznane grupy Rosjan mogą wykorzystać luki w tych urządzeniach do spełnienia swoich celów geopolitycznych.
W takich sytuacjach łatwo przypisać lenistwo i niedbałość administratorom oraz organizacjom, które pozostawiają swoje oprogramowanie bez poprawek. Ale historia nie zawsze jest taka prosta.
Według Davida Maynora, starszego dyrektora ds. analizy zagrożeń w Cybrary, kamery Hikvision były i są podatne od dawna nie tylko przez tę lukę. Jak powiedział, „produkt zawiera łatwe do wykorzystania błędy systemowe lub, co gorsza, wykorzystuje domyślne dane uwierzytelniające. Nie ma dobrego sposobu na przeprowadzenie kryminalistyki lub zweryfikowanie, czy atakujący został wycięty z dostępów. Co więcej, nie zaobserwowaliśmy żadnej zmiany w postawie Hikvision, która sygnalizowałaby wzrost bezpieczeństwa w ich cyklu rozwojowym”.
Takie odkrycia jasno wskazują, że cała branża IoT stoi przed dużym wyzwaniem. Urządzenia IoT, jak na przykład kamery CCTV, nie zawsze są tak łatwe do zabezpieczenia jak aplikacja na telefonie czy przeglądarka internetowa w laptopie. Aktualizacje nie są automatyczne, użytkownicy muszą je ręcznie pobrać i zainstalować. Ponadto urządzenia te mogą nie dawać żadnych wskazówek, że są niezabezpieczone lub nieaktualne, bo nie mają dostępu do sieci. Podczas gdy Twój telefon powiadomi Cię, gdy aktualizacja będzie dostępna i prawdopodobnie zainstaluje ją automatycznie przy następnym ponownym uruchomieniu, urządzenia IoT nie oferują takich udogodnień.
Cyberprzestępcy (jak i użytkownicy Internetu) mogą skanować sieć w poszukiwaniu podatnych na ataki urządzeń za pomocą wyszukiwarek takich jak Shodan czy Censys. Dzięki temu każda z osób ze złymi zamiarami może stać się hakerem bez żadnej specjalistycznej wiedzy.