Novas pesquisas mostram que mais de 80.000 câmeras de vigilância da marca Hikvision em todo o mundo estão atualmente suscetíveis a uma falha de injeção de comando que persiste por 11 meses.
Hikvision, abreviação de Hangzhou Hikvision Digital Technology, é uma empresa da China que produz dispositivos de monitoramento por vídeo. Seus produtos são utilizados em mais de 100 países, embora os Estados Unidos tenham rotulado a Hikvision como um potencial risco para a segurança nacional em 2019.
No outono passado, uma vulnerabilidade de injeção de comandos nas câmeras da marca Hikvision foi exposta sob o código CVE-2021-36260. O NIST classificou o exploit como “crítico”, atribuindo-lhe uma pontuação de 9,8 em 10.
Apesar da gravidade da vulnerabilidade e do longo período de tempo decorrido desde o início, ainda existem mais de 80.000 dispositivos afetados sem solução. Pesquisadores recentemente identificaram várias situações em que hackers colaboraram para explorar câmeras Hikvision por meio da vulnerabilidade de injeção de comando. Isso ocorreu principalmente em fóruns da dark web russa, onde credenciais vazadas foram disponibilizadas para venda.
A magnitude dos danos ainda não foi determinada. Os responsáveis pelo relatório apenas puderam conjecturar que “grupos de ameaças chineses, como a MISSION2025/APT41, APT10 e seus parceiros, juntamente com grupos de atores de ameaças russos não identificados, talvez possam aproveitar vulnerabilidades nesses dispositivos para alcançar seus objetivos (que podem envolver questões geopolíticas específicas).”
O perigo envolvido nos aparelhos de Internet das Coisas (IoT).
Com relatos como esse, é simples rotular de preguiçosos tanto pessoas quanto organizações que não exploram seu software. No entanto, a realidade nem sempre é tão direta.
De acordo com David Maynor, diretor sênior de inteligência de ameaças em Cybrary, as câmeras Hikvision estavam vulneráveis por várias razões e por um período prolongado. Ele mencionou que o produto da empresa apresentava vulnerabilidades sistêmicas fáceis de explorar, além do uso de credenciais padrão. Maynor também destacou a dificuldade de realizar investigações forenses ou determinar se houve um ataque bem-sucedido. Ele ressaltou que não houve evidências de melhorias na segurança por parte da Hikvision ao longo do tempo.
Muitos problemas são comuns na indústria, não apenas na Hikvision. Dispositivos IoT, como câmeras, muitas vezes não são tão simples de proteger como um aplicativo de telefone. As atualizações não são automáticas, os usuários precisam baixá-las e instalá-las manualmente, e muitos podem não receber a mensagem. Além disso, os dispositivos IoT podem não alertar os usuários sobre possíveis problemas de segurança ou falta de atualizações, ao contrário dos telefones, que costumam fazer isso automaticamente.
Enquanto os usuários continuarem sem conhecimento, os criminosos virtuais podem explorar dispositivos vulneráveis usando ferramentas de busca como Shodan ou Censys. A situação pode piorar ainda mais devido à negligência, como apontado por Bischoff, que destacou que as câmeras Hikvision vêm com senhas predefinidas e muitos usuários não as alteram.
Com a combinação de segurança deficiente, falta de visibilidade e supervisão inadequada, não está claro se essas dezenas de milhares de câmeras serão seguras algum dia.
Por favor, divida este artigo.
- Internet das Coisas (IoT)
- Respeito à privacidade.
- Fragilidades ou pontos fracos.
