摘要:来自 CYFIRMA 的安全研究人员发现超过 80,000 台海康威视摄像头受到CVE-2021-36260关键命令注入漏洞的影响。该厂商在 2021 年 9 月解决了这个问题,但仍有数万台设备尚未修补。攻击者可以通过向易受攻击设备上运行的...
来自 CYFIRMA 的安全研究人员发现超过 80,000 台海康威视摄像头受到CVE-2021-36260关键命令注入漏洞的影响。该厂商在 2021 年 9 月解决了这个问题,但仍有数万台设备尚未修补。攻击者可以通过向易受攻击设备上运行的 Web 服务器发送特制消息来利用该漏洞。
该漏洞是海康威视 IP 摄像头/NVR 固件中的一个未经身份验证的远程代码执行 (RCE) 漏洞,它是由一名在线安全研究人员发现的,其绰号为“Watchful IP”。
“即使使用最新固件(截至 2021 年 6 月 21 日),海康威视最近的大多数摄像机产品系列都容易受到严重的远程未经身份验证的代码执行漏洞的影响。”
“这允许攻击者使用不受限制的 root shell 获得对设备的完全控制权,这比设备所有者拥有的访问权限要多得多,因为他们被限制在有限的“受保护 shell”(psh)中,该 shell 将输入过滤到预定义的一组有限的,主要是信息命令。”
在入侵 IP 摄像头后,攻击者还可以使用被黑客入侵的设备访问内部网络,从而对使用这些设备的基础设施构成风险。
研究人员指出,利用该问题不需要用户交互,攻击者只需要访问 http(s) 服务器端口(通常为 80/443)。
“鉴于在敏感地点部署这些摄像机,即使是关键基础设施也可能面临风险,”该帖子继续说道。“不需要用户名或密码,也不需要相机所有者发起任何操作。任何登录摄像机本身都无法检测到它。”
专家证实,自 2016 年以来开发的每个固件都经过测试,发现存在漏洞。
该漏洞影响海康威视摄像机和 NVR,受影响产品列表已在供应商发布的安全公告中发布。
“某些海康威视产品的 Web 服务器中存在命令注入漏洞。由于输入验证不充分,攻击者可以利用该漏洞通过发送一些带有恶意命令的消息来发起命令注入攻击。” 阅读 供应商的建议。
问题的根本原因是输入验证不足。该漏洞已于 6 月向供应商报告,该公司于 9 月 19 日后通过发布固件更新修复了该漏洞。
自公开披露以来,CVE-2021-36260 的两个漏洞利用分别于 2021 年 10 月 和 2022 年 2月公开发布。
这意味着威胁参与者很容易扫描 Internet 以查找易受攻击的设备并对其进行破坏。众所周知,该问题在野外被积极利用,2021 年 12 月,Fortinet 研究人员报告称,基于 Mirai 的僵尸网络Moobot正在利用一些海康威视产品的网络服务器中的漏洞。
“在我们的分析过程中,我们观察到许多有效载荷试图利用此漏洞来探测设备的状态或从受害者那里提取敏感数据。一个有效载荷特别引起了我们的注意。它试图删除一个表现出感染行为并执行 Moobot 的下载程序,Moobot 是一个基于 Mirai 的 DDoS 僵尸网络。”
Fortinet 研究人员发现了一个带有“hikivision”参数的 Moobot 恶意软件下载器,它将最终有效载荷保存为“macHelper”。
该恶意软件还修改了“重启”等基本命令,以防止管理员重启受感染的设备。
CYFIRMA 的研究人员在观察地下论坛的演变时,注意到多个黑客希望合作利用 CVE-2021-36260 漏洞利用海康威视摄像头。
研究人员分析了截至 2022 年 7 月暴露在互联网上的大约 28.5 万台海康威视 Web 服务器的样本。
使用海康威视相机产品的前 10 个国家(根据分析的样本)包括中国(12690)、美国(10611)和越南(7394)。列表中的其他国家是英国、乌克兰、泰国、南非、法国、荷兰和罗马尼亚。据专家介绍,超过 2300 家使用海康威视摄像机的组织仍然容易受到攻击。
消息来源:
https://securityaffairs.co/wordpress/134756/security/hikvision-cameras-vulnerability.html
