Sem patches, milhares de câmeras Hikvision continuam vulneráveis

Sem patches, milhares de câmeras Hikvision continuam vulneráveis

Infelizmente, as câmeras de segurança da Hikvision continuam aparecendo como dispositivos inseguros. Inclusive, as notícias começaram a surgir ainda no ano passado e, até agora, tudo continua igual. As câmeras de segurança Hikvision continuam sem patches, portanto vulneráveis a controle remoto não autorizado.

Câmeras Hikvision ainda sem segurança

De acordo com um whitepaper publicado pela CYFIRMA, dezenas de milhares de sistemas usados ??por 2.300 organizações em 100 países ainda não aplicaram a atualização de segurança e, portanto, estão vulneráveis ??à exploração.

De acordo com o pesquisador que relatou no ano passado, a vulnerabilidade existe pelo menos desde 2016. Tudo o que um invasor precisa é acessar a porta do servidor http(s) (normalmente 80/443). Nenhum nome de usuário ou senha é necessário, nem são necessárias ações do proprietário da câmera, e o ataque não é detectável por nenhum registro na própria câmera.

Assim, um cibercriminoso pode explorar a vulnerabilidade para lançar um ataque de injeção de comando enviando algumas mensagens com comandos especialmente criados.

sem-patches-milhares-de-cameras-hikvision-continuam-vulneraveis
Imagem: Reprodução | Malware Bytes

A vulnerabilidade

A falha de segurança foi rastreada como CVE-2021-36260 e foi corrigida pela Hikvision por meio de uma atualização de firmware em setembro de 2021. O bug crítico recebeu 9,8 de 10 na escala de gravidade CVSS, claramente demonstrado pelo fato de fornecer ao invasor obter ainda mais acesso do que o proprietário do dispositivo, pois o proprietário está restrito a um shell protegido limitado (psh) que filtra a entrada para um conjunto predefinido de comandos limitados, principalmente informativos.

Uma possível exploração dessa vulnerabilidade foi publicada em outubro de 2021. Em dezembro de 2021, o BleepingComputer (Via: Malware Bytes) informou que um botnet baseado em Mirai chamado Moobot estava se espalhando agressivamente por meio da exploração dessa vulnerabilidade no servidor da Web de muitos produtos Hikvision.

Um módulo Metasploit baseado na vulnerabilidade foi publicado em fevereiro de 2022. A Cybersecurity & Infrastructure Security Agency (CISA) adicionou a vulnerabilidade à sua lista de vulnerabilidades exploradas conhecidas que devem ser corrigidas até 24 de janeiro de 2022.

Sem patch de segurança

Dada a quantidade de informações disponíveis, é trivial mesmo para um “criminoso de copiar e colar”, fazer uso das câmeras sem patches. De uma amostra analisada de 285.000 servidores web Hikvision voltados para a Internet, a CYFIRMA descobriu que cerca de 80.000 deles ainda estavam vulneráveis ??à exploração. A maioria deles está localizada na China e nos Estados Unidos, enquanto Vietnã, Reino Unido, Ucrânia, Tailândia, África do Sul, França, Holanda e Romênia contam com mais de 2.000 câmeras vulneráveis.

Se você estiver em dúvida se está usando um produto vulnerável, há uma lista das versões de firmware vulneráveis ??no post dos pesquisadores. A Hikvision diz que você deve baixar o firmware mais recente para o seu dispositivo no portal global de firmware.