据BleepingComputer报道,安全研究人员发现,超过80,000台海康威视摄像头未更新固件,容易受到关键命令注入漏洞的攻击。攻击者可以通过向易受攻击的Web服务器发送特定消息并发起命令注入攻击来轻松利用此漏洞。2021年6月,网络安全研究机构WatchfulIP率先发现该漏洞,编号为CVE-2021-36260,同月,海康威视通过固件更新解决了该问题。然而,这并不意味着该漏洞利用已经失效。根据CYFIRMA发布的一份白皮书,全球100个国家的2300个使用受影响摄像头的组织机构没有及时更新固件,仍然面临被攻击的风险。公开资料显示,CVE-2021-36260一共包含两个已知的公开漏洞,一个发布于2021年10月,一个发布于2022年2月,因此各种技术水平的攻击者都可以轻松搜索和利用有漏洞的摄像头。到目前为止,安全研究人员已经观察到大量有效负载试图利用此漏洞来探测设备状态或从受害者那里提取敏感数据。更糟糕的是,名为Moobot的恶意僵尸网络正试图大规模利用该漏洞,这很可能导致更严重的网络攻击和信息泄露。由于Moobot是基于Mirai开发的僵尸网络家族,自出现以来一直活跃,具有利用零日漏洞的能力。为此,海康威视强烈呼吁用户及时更新固件。2022年初,CISA也发出警告称,CVE-2021-36260是当时发布的列表中被积极利用的漏洞之一,攻击者可以“控制”设备,要求组织立即修补漏洞。容易受到攻击和伤害CYFIRMA表示,最受欢迎的销售入口点是俄语黑客论坛,其中大量入口点依赖于易受攻击的海康威视摄像头,可用于僵尸网络或横向移动。俄罗斯论坛上出售的样本(CYFIRMA)在分析了285,000个面向互联网的海康威视网络服务器样本后,安全研究人员得出结论,超过80,000台摄像机仍然容易受到网络攻击,并且广泛分布在世界各地。其中,中国和美国分布最多。此外,还有越南、英国、乌克兰、泰国、南非、法国、荷兰、罗马尼亚等国家。有超过2,000台相机尚未更新其固件。易受攻击的海康威视相机(CYFIRMA)的位置尽管到目前为止,此漏洞的利用并未遵循特定的模式,但已涉及多个攻击者。用户避免受到攻击者威胁的最佳方式是立即更新固件修复该漏洞。如果继续让这个漏洞存在,很可能会造成严重的后果。同时,安全专家进一步强调,用户应增强网络安全意识。除了上述命令注入漏洞,研究人员还发现,用户往往为了方便将密码设置为“123456”等弱密码,或者直接使用厂商的初始密码。而这些日常操作会破坏厂商的安全措施。再好的安全产品也无法彻底改变用户不安全的使用习惯。参考来源:https://www.bleepingcomputer.com/news/security/over-80-000-exploitable-hikvision-cameras-exposed-online/
