Hikvision

Hikvision 2021: Đặc Điểm, Nguy Cơ và Giải Pháp

Hikvision

Trên thực tế, hơn 3,2 triệu hệ thống camera an ninh của Hikvision vẫn còn tồn tại một lỗ hổng nghiêm trọng, có mã CVE-2021-36260, cho phép tin tặc tiếp quản thiết bị từ xa mà không cần sự tương tác của người dùng. Tập đoàn giám sát video Hikvision vừa tiết lộ một lỗ hổng zero-click được theo dõi với mã CVE-2021-36260, đã tồn tại ít nhất từ năm 2016, theo các nhà nghiên cứu. Lỗ hổng hiện có trong các mô hình camera Hikvision dễ bị chiếm đoạt từ xa mà không yêu cầu tên người dùng hoặc mật khẩu.

Lỗ hổng nghiêm trọng này có điểm CVSS v3 là 9.8 và cho phép tin tặc bypass shell được bảo vệ, giới hạn việc sử dụng hệ thống bởi chủ sở hữu chỉ trong phạm vi các lệnh cụ thể. Do đó, các chuyên gia bảo mật của Securin đề nghị người dùng địa chỉ lỗ hổng nghiêm trọng này ưu tiên hàng đầu trước khi các tác nhân độc hại tiến hành tấn công vào tổ chức.

Cập Nhật Mới Nhất:

[Cập nhật vào ngày 23 tháng 8 năm 2022]: Mặc dù một bản vá đã được cung cấp từ tháng 9 năm 2021, lỗ hổng CVE-2021-36260 vẫn gây chú ý mạnh từ tháng 10 năm 2021. Với mã khai thác đã được công khai, CISA coi lỗ hổng này là nguy hiểm và đã thêm nó vào danh mục KEV vào tháng 1 năm 2022. Theo báo cáo mới nhất, hơn 80.000 camera Hikvision với lỗ hổng này vẫn có thể bị khai thác, đòi hỏi chúng ta đặt câu hỏi sau đây –

Tại sao các doanh nghiệp không ưu tiên xử lý lỗ hổng nguy hiểm này?

“Tin tặc có thể khai thác lỗ hổng Hikvision để kiểm soát hoàn toàn các hình ảnh của camera. Hơn nữa, họ có thể lấy được thông tin đăng nhập của người dùng của các camera bị chiếm đoạt và sử dụng chúng để xâm nhập sâu hơn vào các mạng liên kết.” – Quan điểm của các chuyên gia bảo mật.

[Cập nhật vào ngày 10 tháng 12 năm 2021]: Một botnet dựa trên Mirai, được gọi là ‘Moobot’, đang phát triển nhanh chóng bằng cách khai thác một vấn đề tiêm lệnh nghiêm trọng trong các máy chủ web của nhiều thiết bị Hikvision. Theo Fortinet, ‘Moobot’ đang sử dụng CVE-2021-36260 để xâm nhập vào các thiết bị chưa vá và lấy cắp dữ liệu nhạy cảm từ nạn nhân.

Chúng tôi khuyến nghị người dùng khắc phục lỗ hổng nghiêm trọng này trước khi các tác nhân mối đe dọa tội phạm tiến hành tấn công vào tổ chức.

Phân Tích Về CVE:

CVE-2021-36260

  • CVE-2021-36260 là một lỗ hổng tiêm lệnh từ xa trong một số camera Internet of Things (IoT) do Hikvision sản xuất và sử dụng dịch vụ máy chủ web.
  • Các nhà nghiên cứu chỉ ra rằng kẻ tấn công chỉ cần truy cập vào cổng máy chủ http(s) (thường là 80 và 443) để khai thác lỗ hổng một cách đơn giản.

Một lỗ hổng nghiêm trọng, Tại sao?

  • CISA đã phát đi cảnh báo, kêu gọi người dùng vá lỗ hổng nguy hiểm này.
  • Lỗ hổng được phân loại dưới CWE-20 (Xác thực Đầu vào Sai) với điểm CVSS v3 là 9.8.
  • CWE-20 đứng thứ ba trong danh sách 25 lỗ hổng phần mềm nguy hiểm nhất của MITRE năm 2021.
  • Hikvision đã công bố nhiều bức ảnh chụp màn hình của Bằng chứng Minh chứng từ quan điểm của một kẻ tấn công.

“CWE-20 có thể ảnh hưởng đến luồng điều khiển hoặc luồng dữ liệu của một chương trình. Khi phần mềm không xác thực đầu vào đúng cách, một kẻ tấn công có thể thiết kế nó một cách không được ý định bởi phần còn lại của ứng dụng.”

Điều này nhắc chúng ta nhớ rằng việc vá lỗ hổng bảo mật và đảm bảo mạng được bảo vệ bằng một bộ chống thâm nhập cập nhật là vô cùng quan trọng.

Dữ Liệu Đáng Chú Ý

  • Thú vị, 40% thị trường camera giám sát toàn cầu thuộc sở hữu của Hikvision, bao gồm một danh sách ảnh hưởng rộng lớn.
  • Công ty cung cấp sản phẩm giám sát cho thị trường toàn cầu thông qua hơn 2.400 đối tác ở 155 quốc gia và khu vực.
  • Điều lo ngại nhất là không có một công cụ quét phổ biến nào như Qualys, Nessus và Nexpose có thể phát hiện lỗ hổng này, đặt camera chưa vá vào nguy cơ.

Danh Sách Các Sản Phẩm Bị Ảnh Hưởng

Dưới đây là danh sách các sản phẩm bị ảnh hưởng có nguy cơ.

Sự Lan Truyền Toàn Cầu

Phân tích Shodan rõ ràng cho thấy một số firmware cũ vẫn còn tồn tại lỗ hổng và có thể truy cập qua Internet.

  • CVE-2021-36260 có khoảng 3,2 triệu cài đặt, với đa số chúng tại Hoa Kỳ và Việt Nam.

Không có gì đáng ngạc nhiên khi danh sách các ảnh hưởng kéo dài như vậy; 1,7 triệu trường hợp của cổng 80 có thể bị khai thác bởi kẻ tấn công.

Đang trở thành xu hướng tìm kiếm nổi bật tại Trung Quốc, dựa trên kết quả tìm kiếm của Google. Điều này có thể là một dấu hiệu cho thấy các nhà hành động độc hại tại Trung Quốc đang khai thác lỗ hổng này hay người dùng đang khắc phục nó?

Phòng Ngừa Tấn Công. Vá Ngay Lập Tức.

Hikvision mô tả lỗ hổng này là “một lỗ hổng nghiêm trọng” vì kẻ tấn công có thể tiếp quản hoàn toàn một camera kết nối Internet, và có thể tiềm ẩn nguy cơ khác cho mạng nội bộ, gây nguy hiểm cao đối với quản lý an ninh.

Vào ngày 18 tháng 9 năm 2021, Trung tâm Phản ứng An ninh của Hikvision đã cung cấp một bản vá cho tất cả firmware có lỗ hổng. Ngoài việc thử nghiệm trực tiếp, mã đã được giải mã, đảo ngược và xác nhận nếu bản vá triển khai đã khắc phục vấn đề. Do đó, chúng tôi khuyến nghị các nhóm quản lý an ninh trong tổ chức vá lỗ hổng này và đứng trước các kẻ tấn công đói bụng.

VIỄN THÔNG GIÁ RẺ có thể giúp tổ chức ngăn chặn các mối đe dọa và tránh trở thành nạn nhân của các cuộc tấn công. Liên hệ với chúng tôi để biết thêm thông tin.