海康威視去年爆出重大漏洞 今年還有8萬台攝影機的漏洞未補
安全廠商去年發現全球最大網路攝影機業者海康威視(Hikvision)攝影機有重大指令注入漏洞,可讓駭客傳送惡意訊息到網頁伺服器,後果包括控制攝影機或監控用戶,或是在內部網路上橫向移動。而在近1年後,仍然有8萬台仍然未補漏洞。
這項漏洞編號CVE-2021-36260,其實廠商去年9月就已經釋出新版韌體修補,但是安全業者Cyfirma公佈的白皮書顯示,全球100多國2,300多家企業使用的數十萬台攝影機仍然還沒更新。
更糟的是,網路上已經可見二項瞄準CVE-2021-36260的開採程式,分別出現於2021年10月和今年2月。去年12月,以Mirai發展的殭屍網路Moobot就利用其中一項程式迅速在網路散佈,並且吸收系統加入DDoS (distributed denial of service)網路。今年一月美國網路安全暨基礎架構安全管理署(CISA)也將本漏洞列為最常被開採的漏洞之一。
Cyfirma指出,俄語駭客論壇上經常有人銷售連結海康威視攝影機的網站入口,以便收編為殭屍網路,或是供「買家」在受害企業網路上橫向移動。
研究人員分析網路上28.5萬個海康威視網頁伺服器,其中近8萬個還沒修補漏洞。以地域而言,大部份位於中國、美國,其餘在越南、英國、烏克蘭、泰國、南非、法國、荷蘭、羅馬尼亞,全部都在2000個以上。
除了指令注入漏洞外,Bleeping Computer還發現暗網上有人銷售海康威視攝影機的帳密清單,可供存取即時影像,有的甚至還免費。