海康威視去年爆出重大漏洞 今年還有8萬台攝影機的漏洞未補

安全廠商去年發現全球最大網路攝影機業者海康威視(Hikvision)攝影機有重大指令注入漏洞，可讓駭客傳送惡意訊息到網頁伺服器，後果包括控制攝影機或監控用戶，或是在內部網路上橫向移動。而在近1年後，仍然有8萬台仍然未補漏洞。

這項漏洞編號CVE-2021-36260，其實廠商去年9月就已經釋出新版韌體修補，但是安全業者Cyfirma公佈的白皮書顯示，全球100多國2,300多家企業使用的數十萬台攝影機仍然還沒更新。

更糟的是，網路上已經可見二項瞄準CVE-2021-36260的開採程式，分別出現於2021年10月和今年2月。去年12月，以Mirai發展的殭屍網路Moobot就利用其中一項程式迅速在網路散佈，並且吸收系統加入DDoS (distributed denial of service)網路。今年一月美國網路安全暨基礎架構安全管理署(CISA)也將本漏洞列為最常被開採的漏洞之一。

Cyfirma指出，俄語駭客論壇上經常有人銷售連結海康威視攝影機的網站入口，以便收編為殭屍網路，或是供「買家」在受害企業網路上橫向移動。

研究人員分析網路上28.5萬個海康威視網頁伺服器，其中近8萬個還沒修補漏洞。以地域而言，大部份位於中國、美國，其餘在越南、英國、烏克蘭、泰國、南非、法國、荷蘭、羅馬尼亞，全部都在2000個以上。

除了指令注入漏洞外，Bleeping Computer還發現暗網上有人銷售海康威視攝影機的帳密清單，可供存取即時影像，有的甚至還免費。

來源：Bleeping Computer