Исследователи безопасности компании CYFIRMA обнаружили более 80 тысяч камер китайского производителя Hikvision, подверженных критической ошибке внедрения команд с помощью специально созданных сообщений, отправляемых на уязвимый веб-сервер.

Уязвимость отслеживается как CVE-2021-36260 и была устранена Hikvision с помощью обновления прошивки в сентябре 2021 года.

Согласно новому исследованию, десятки тысяч систем, используемых 2300 организациями в 100 странах, до сих пор не установили обновление безопасности.

Было известно о двух общедоступных эксплойтах для CVE-2021-36260, один из которых был опубликован в октябре 2021 года, а второй — в феврале 2022 года. Злоумышленники всех уровней квалификации могут искать и использовать уязвимые камеры.

В декабре 2021 года ботнет на основе Mirai под названием Moobot использовал эксплойт для агрессивного распространения и включения систем камер в роли DDoS (распределённый отказ в обслуживании).

В январе 2022 года CISA предупредила, что CVE-2021-36260 была среди активно эксплуатируемых ошибок, предупредив организации, что злоумышленники могут «взять под контроль» устройства.

CYFIRMA сообщает, что русскоязычные хакерские форумы часто продают точки входа в сеть, полагаясь на эксплуатируемые камеры Hikvision, которые можно использовать либо для «ботнетинга», либо для перемещения внутри периметра. Компания проанализировала выборку из 285 тысяч веб-серверов Hikvision, подключённых к Интернету, и выявила 80 тысяч уязвимых камер.

Большинство из них расположены в Китае и США, а во Вьетнаме, Великобритании, Украине, Таиланде, Южной Африке, Франции, Нидерландах и Румынии насчитывается более 2 тысяч уязвимых конечных точек. 

CYFIRMA заявляет о случаях кибершпионажа китайских хакерских групп APT41 и APT10, а также российских хакеров. В качестве примера они приводят кампанию под названием «think pocket», нацеленную на популярный продукт связи, используемый в различных отраслях промышленности по всему миру с августа 2021 года. 

Помимо уязвимости внедрения команд, существует также проблема со слабыми паролями, которые пользователи устанавливают для удобства или которые поставляются с устройством по умолчанию и не сбрасываются при первой настройке.

Bleeping Computer обнаружил несколько списков, некоторые из которых доступны на хакерских форумах Clearnet бесплатно и содержат учётные данные для прямых видеотрансляций с камер Hikvision.

В марте этого года стало известно, что производитель устройств для «умного дома», компания Wyze, знала об уязвимости в своём оборудовании в течение трёх лет, но не предпринимала попыток исправить её. Уязвимость обнаружилась в камерах видеонаблюдения WyzeCam v1. Используя её, хакеры могли следить за чужими домами через интернет.