据Bleeping Computer信息,安保钻研人员发现超越八万台海康威视摄像机尚未更新固件,容易遭到关键命令注入破绽的影响。攻打者可将特定的信息发送至易受攻打的Web主机,即可轻松应用该破绽,并动员命令注入攻打。
2021年6月,网络安保钻研机构Watchful IP初次发现了该破绽,编号为CVE-2021-36260,同月,海康威视经过固件更新处置了这一疑问。
然而,这并不象征着这一破绽曾经失去了成果。依据 CYFIRMA 颁布的白皮书,环球100 个国度/地域的2300个正在经常使用受影响摄像机的组织,并未及时对固件启动安保更新,依然处于被攻打者的要挟之中。
地下信息显示,CVE-2021-36260一共蕴含两个已知的地下破绽,一个在2021 年 10 月颁布,另一个在2022 年 2 月颁布,因此一切技艺水平的攻打者都可以轻松地搜查和应用易受攻打的摄像头。
截止到目前,安保钻研人员曾经观察到,少量有效载荷试图应用此破绽来探测设施形态或从受益者那里提取敏感数据。更蹩脚的是,一个名为Moobot的恶意僵尸网络正在试图大规模应用该破绽,这很有或许会惹起更重大的网络攻打和信息暴露。由于Moobot是一基于Mirai开发的僵尸网络家族,自从其出现就不时很生动,并且领有零日破绽应用的才干。
为此,海康威视剧烈催促用户及时更新固件,2022年年终,CISA也曾颁布正告称,CVE-2021-36260 是过后颁布的列表中被踊跃应用的破绽之一,攻打者可以“控制”设施,要求组织立刻修补破绽。
极易遭受攻打和损伤
CYFIRMA示意,发售网络入口点最多的是讲俄语的黑客论坛,这些入口点其中一大局部依赖于那些可用于僵尸网络或横向移动的,存在破绽的海康威视摄像机。
在俄罗斯论坛上发售的样品 (CYFIRMA)
安保钻研人员对285000个面向互联网的海康威视Web主机的样本启动剖析之后,得出的论断是仍有超越8万个摄像机容易遭受网络攻打,并宽泛散布于环球各个中央。其中数量散布最多的是中国和美国,此外还有越南、英国、乌克兰、泰国、南非、法国、荷兰和罗马尼亚等国度,未更新固件的摄像机均超越2000个。
易受攻打的海康威视摄像机 (CYFIRMA)的位置
只管该破绽的应用目前并未遵照特定形式,然而曾经有不少攻打者介入其中。而用户想要防止被攻打者要挟,最好的方法就是立刻更新固件,修复这一破绽。倘若继续任由该破绽存在,很有或许形成重大结果。
同时安保专家还进一步强调,用户应优化网络安保看法。除了上述命令注入破绽外,钻研员还发现很多时刻用户图繁难而将明码设置成“123456”等弱明码,或许是间接经常使用消费厂商的初始明码。
而这些日常的操作会让厂商的安保措施毁于一旦,哪怕是再好的安保产品,也无法彻底扭转用户不安保的经常使用习气。