最近更新
数以万计的摄像头未能修补一个 11 个月前的关键 CVE,导致数千个组织暴露在外。
新的研究表明,当今全球有超过 80,000 台海康威视监控摄像头容易受到 11 个月前的命令注入缺陷的影响。
海康威视——杭州海康威视数字技术的缩写——是一家中国国有视频监控设备制造商。他们的客户遍布 100 多个国家(包括美国,尽管 FCC 在 2019 年将海康威视标记为“美国国家安全不可接受的风险”)。
去年秋天,海康威视摄像头中的一个命令注入缺陷被披露为CVE-2021-36260。该漏洞被 NIST 评为“严重”的 9.8 分(满分 10 分)。
尽管漏洞很严重,而且这个故事已经过去了近一年,但仍有超过 80,000 台受影响的设备尚未修补。此后,研究人员发现了“多个黑客希望合作利用命令注入漏洞利用海康威视摄像头的实例”,特别是在俄罗斯暗网论坛中,泄露的凭据已被出售。
目前尚不清楚造成的损害程度。该报告的作者只能推测“MISSION2025/APT41、APT10 及其附属公司等中国威胁组织以及未知的俄罗斯威胁行为者组织可能会利用这些设备中的漏洞来实现其动机(其中可能包括特定的地缘政治考虑)。
物联网设备的风险
有了这样的故事,很容易将懒惰归咎于那些没有打补丁软件的个人和组织。但故事并不总是那么简单。
Cybrary 威胁情报高级总监 David Maynor 表示,海康威视摄像头一直容易受到攻击,原因有很多,而且已经有一段时间了。“他们的产品包含易于利用的系统漏洞,或者更糟糕的是,使用默认凭据。没有很好的方法来执行取证或验证攻击者是否已被切除。此外,我们没有观察到海康威视的态势有任何变化,表明其开发周期内安全性有所提高。
很多问题都是行业特有的,而不仅仅是海康威视。“像相机这样的物联网设备并不总是像手机上的应用程序那样容易或直接地保护,”Comparitech 的隐私倡导者 Paul Bischoff 在电子邮件的一份声明中写道。“更新不是自动的;用户需要手动下载并安装它们,许多用户可能永远不会收到该消息。此外,物联网设备可能不会向用户提供任何迹象表明它们不安全或过时。虽然您的手机会在有可用更新时提醒您,并可能在您下次重新启动时自动安装它,但物联网设备无法提供此类便利。
虽然用户并不明智,但网络犯罪分子可以使用 Shodan 或 Censys 等搜索引擎扫描其易受攻击的设备。正如 Bischoff 指出的那样,这个问题肯定会因懒惰而变得更加复杂,“因为海康威视相机带有一些开箱即用的预定密码之一,而且许多用户不会更改这些默认密码。
由于安全性薄弱、可见性和监督不足,目前尚不清楚这数以万计的摄像头何时或是否会得到保护。
