Rất có thể nhiều mẫu camera giám sát Hikvision đang sử dụng Việt Nam có nguy cơ đã bị dính lỗ hổng và đe dọa bị tấn công rất cao.
Các nhà nghiên cứu bảo mật đã phát hiện ra hơn 80.000 camera Hikvision có nguy cơ bị tấn công thông qua một lỗ hổng command injection quan trọng. Nó có thể khai thác thông qua tin nhắn được tạo đặc biệt gửi đến máy chủ web dễ bị tấn công.
Lỗ hổng được theo dõi là CVE-2021-36260 và đã được Hikvision giải quyết thông qua bản cập nhật firmware vào tháng 9/2021.
Tuy nhiên theo báo cáo chính thức do CYFIRMA công bố, hàng chục ngàn hệ thống được sử dụng bởi 2.300 tổ chức trên 100 quốc gia vẫn chưa cập nhật phiên bản mới.
Đã có hai lần lỗ hổng CVE-2021-36260 bị khai thác công khai, một lần được công bố vào tháng 10/2021 và lần thứ hai vào tháng 2/2022. Vì vậy các tác nhân đe dọa ở mọi cấp độ kỹ năng đều có thể tìm kiếm và khai thác các camera giám sát này.
Vào tháng 12/2021, một mạng botnet Mirai có tên là 'Moobot' đã sử dụng cách khai thác đặc biệt để lan truyền mã độc và tấn công DDoS (từ chối dịch vụ phân tán).
Vào tháng 1/2022, CISA cảnh báo CVE-2021-36260 nằm trong số các lỗi được khai thác tích cực và cảnh báo các tổ chức về những kẻ tấn công có thể "kiểm soát" thiết bị và vá lỗi ngay lập tức.
Camera giám sát dễ bị khai thác?
CYFIRMA cho biết các diễn đàn hack nói tiếng ở Nga thường bán các điểm truy cập dựa trên các camera Hikvision dễ khai thác và dùng cho "mạng botnet".
Trong một mẫu phân tích gồm 285.000 máy chủ web Hikvision sử dụng internet, công ty an ninh mạng phát hiện khoảng 80.000 camera dễ bị khai thác.
Hầu hết trong số này nằm ở Trung Quốc và Mỹ, trong khi Việt Nam, Anh, Ukraine, Thái Lan, Nam Phi, Pháp, Hà Lan và Romania đều có trên 2.000 camera dễ bị tấn công.
Các quốc gia có số thiết bị của Hikvision chịu ảnh hưởng
Mặc dù việc khai thác lỗ hổng không theo một mô hình cụ thể nào vì nhiều kẻ đe dọa không tham gia vào nỗ lực này nhưng CYFIRMA nhấn mạnh trường hợp của các nhóm hack APT41 và APT10 đến từ Trung Quốc và các nhóm của Nga chuyên về gián điệp mạng.
Một ví dụ mà họ đưa ra là một chiến dịch gián điệp mạng cyberespionage có tên "think pocket" đã nhắm mục tiêu đến một sản phẩm kết nối phổ biến được sử dụng trong một loạt các ngành trên toàn cầu kể từ tháng 8/2021.
CYFIRMA giải thích trong báo cáo: "Từ External Threat Landscape Management (ETLM), tội phạm mạng từ các quốc gia không có mối quan hệ thân thiết với các quốc gia khác có thể sử dụng các sản phẩm camera Hikvision dễ bị tấn công để phát động chiến tranh mạng với động cơ địa chính trị".
Mật khẩu yếu cũng là một vấn đề
Ngoài lỗ hổng chèn lệnh còn có vấn đề về mật khẩu yếu mà người dùng đặt để thuận tiện hoặc đi kèm với thiết bị theo mặc định và sau đó người dùng không đặt lại mật khẩu mới mạnh hơn.
Trang Bleeping Computer đã phát hiện ra nhiều danh sách, một số thậm chí cung cấp miễn phí các thông tin xác thực cho các nguồn cấp video trực tiếp từ camera Hikvision trên các diễn đàn hack.
Nếu nhà bạn đang sử dụng camera Hikvision, bạn nên ưu tiên cài đặt bản cập nhật chương trình cơ sở mới nhất hiện có, sử dụng mật khẩu mạnh và cách ly mạng IoT khỏi các phần tử quan trọng bằng cách sử dụng tường lửa hoặc VLAN.
>>> Ngược dòng quá khứ: Tại sao ngày xưa Apple không sản xuất iPhone 9
Nguồn: Bleepingcomputer
