據(jù)Bleeping Computer消息，安全研究人員發(fā)現(xiàn)超過(guò)八萬(wàn)臺(tái)海康威視攝像機(jī)尚未更新固件，容易受到關(guān)鍵命令注入漏洞的影響。攻擊者可將特定的消息發(fā)送至易受攻擊的Web服務(wù)器，即可輕松利用該漏洞，并發(fā)起命令注入攻擊。

2021年6月，網(wǎng)絡(luò)安全研究機(jī)構(gòu)Watchful IP首次發(fā)現(xiàn)了該漏洞，編號(hào)為CVE-2021-36260，同月，?？低曂ㄟ^(guò)固件更新解決了這一問(wèn)題。

但是，這并不意味著這一漏洞已經(jīng)失去了效果。根據(jù) CYFIRMA 發(fā)布的白皮書(shū)，全球100 個(gè)國(guó)家/地區(qū)的2300個(gè)正在使用受影響攝像機(jī)的組織，并未及時(shí)對(duì)固件進(jìn)行安全更新，仍然處于被攻擊者的威脅之中。

公開(kāi)信息顯示，CVE-2021-36260一共包含兩個(gè)已知的公開(kāi)漏洞，一個(gè)在2021 年 10 月發(fā)布，另一個(gè)在2022 年 2 月發(fā)布，因此所有技能水平的攻擊者都可以輕松地搜索和利用易受攻擊的攝像頭。

截止到目前，安全研究人員已經(jīng)觀察到，大量有效載荷試圖利用此漏洞來(lái)探測(cè)設(shè)備狀態(tài)或從受害者那里提取敏感數(shù)據(jù)。更糟糕的是，一個(gè)名為Moobot的惡意僵尸網(wǎng)絡(luò)正在試圖大規(guī)模利用該漏洞，這很有可能會(huì)引起更嚴(yán)重的網(wǎng)絡(luò)攻擊和信息泄露。因?yàn)镸oobot是一基于Mirai開(kāi)發(fā)的僵尸網(wǎng)絡(luò)家族，自從其出現(xiàn)就一直很活躍，并且擁有零日漏洞利用的能力。

為此，?？低晱?qiáng)烈督促用戶(hù)及時(shí)更新固件，2022年年初，CISA也曾發(fā)布警告稱(chēng)，CVE-2021-36260 是當(dāng)時(shí)發(fā)布的列表中被積極利用的漏洞之一，攻擊者可以“控制”設(shè)備，要求組織立即修補(bǔ)漏洞。

極易遭受攻擊和傷害

CYFIRMA表示，出售網(wǎng)絡(luò)入口點(diǎn)最多的是講俄語(yǔ)的黑客論壇，這些入口點(diǎn)其中一大部分依賴(lài)于那些可用于僵尸網(wǎng)絡(luò)或橫向移動(dòng)的，存在漏洞的?？低晹z像機(jī)。

在俄羅斯論壇上出售的樣品 (CYFIRMA)

安全研究人員對(duì)285000個(gè)面向互聯(lián)網(wǎng)的海康威視Web服務(wù)器的樣本進(jìn)行分析之后，得出的結(jié)論是仍有超過(guò)8萬(wàn)個(gè)攝像機(jī)容易遭受網(wǎng)絡(luò)攻擊，并廣泛分布于全球各個(gè)地方。其中數(shù)量分布最多的是中國(guó)和美國(guó)，此外還有越南、英國(guó)、烏克蘭、泰國(guó)、南非、法國(guó)、荷蘭和羅馬尼亞等國(guó)家，未更新固件的攝像機(jī)均超過(guò)2000個(gè)。

易受攻擊的?？低晹z像機(jī) (CYFIRMA)的位置

雖然該漏洞的利用目前并未遵循特定模式，但是已經(jīng)有不少攻擊者參與其中。而用戶(hù)想要避免被攻擊者威脅，最好的辦法就是立即更新固件，修復(fù)這一漏洞。倘若繼續(xù)任由該漏洞存在，很有可能造成嚴(yán)重后果。

同時(shí)安全專(zhuān)家還進(jìn)一步強(qiáng)調(diào)，用戶(hù)應(yīng)提升網(wǎng)絡(luò)安全意識(shí)。除了上述命令注入漏洞外，研究員還發(fā)現(xiàn)很多時(shí)候用戶(hù)圖方便而將密碼設(shè)置成“123456”等弱密碼，或者是直接使用生產(chǎn)廠商的初始密碼。

而這些日常的操作會(huì)讓廠商的安全措施毀于一旦，哪怕是再好的安全產(chǎn)品，也無(wú)法徹底改變用戶(hù)不安全的使用習(xí)慣。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/over-80-000-exploitable-hikvision-cameras-exposed-online/