Một lỗ hổng nghiêm trọng trong camera an ninh Hikvision, được phát hiện lần đầu tiên vào năm 2017, đang bị tin tặc tích cực khai thác để truy cập trái phép vào thông tin nhạy cảm.
Các nhà nghiên cứu SANS đã quan sát thấy sự gia tăng gần đây của các hoạt động độc hại nhắm vào một lỗ hổng cụ thể, được xác định là CVE-2017-7921, có điểm số nghiêm trọng là 10,0 trên thang điểm CVSS.
Các nỗ lực khai thác được đặc trưng bởi các yêu cầu web đáng ngờ đến các URL cụ thể trên các camera dễ bị tấn công, chẳng hạn như /System/deviceInfo?auth=YWRtaW46MTEK.
Chuỗi mã hóa base64 trong yêu cầu YWRtaW46MTEK được giải mã thành admin:11. Điều này cho thấy kẻ tấn công không sử dụng một backdoor tinh vi mà đang cố gắng tấn công brute-force các thiết bị bằng mật khẩu yếu và dễ đoán.
Lỗ hổng camera Hikvision bị khai thác
Cốt lõi của vấn đề nằm ở một lỗ hổng trong phần mềm hệ thống của nhiều mẫu camera Hikvision cho phép xác thực không đúng cách. Lỗ hổng này cho phép kẻ tấn công từ xa, không cần xác thực, vượt qua các biện pháp bảo mật và leo thang đặc quyền, từ đó chiếm quyền kiểm soát thiết bị.
Bằng cách gửi một yêu cầu được thiết kế đặc biệt, kẻ tấn công có thể tải xuống tệp cấu hình của camera, có thể chứa thông tin đăng nhập người dùng, hoặc thậm chí thay đổi mật khẩu người dùng để khóa quyền truy cập của chủ sở hữu hợp pháp.
Mặc dù Hikvision đã phát hành bản vá firmware để giải quyết lỗ hổng này, hàng trăm nghìn thiết bị vẫn chưa được vá và bị phát tán trên internet.
Vấn đề càng trở nên trầm trọng hơn khi nhiều nhà sản xuất khác đổi thương hiệu và bán camera Hikvision dưới tên riêng của họ, khiến người dùng khó xác định xem thiết bị của họ có bị ảnh hưởng hay không.
Một cuộc khai thác thành công có thể gây ra hậu quả nghiêm trọng. Kẻ tấn công không chỉ có thể xem các cảnh quay trực tiếp và ghi lại mà còn sử dụng camera bị xâm nhập làm điểm trung gian để thực hiện các cuộc tấn công tiếp theo vào mạng nội bộ.
Các tệp cấu hình đã tải xuống, mặc dù đã được mã hóa, nhưng lại sử dụng mã hóa yếu với khóa tĩnh, cho phép kẻ tấn công giải mã và thu thập thông tin đăng nhập của người dùng.
Làn sóng tấn công hiện nay dường như đang lợi dụng các biện pháp bảo mật kém của người dùng. Việc sử dụng mật khẩu đơn giản như “11” có thể là do giao diện người dùng hạn chế trên một số đầu ghi hình DVR Hikvision, thường chỉ có bàn phím số trên màn hình, khiến việc nhập mật khẩu phức tạp gồm chữ và số trở nên khó khăn.
Mặc dù việc đặt thông tin đăng nhập vào URL không được khuyến khích do nguy cơ bị ghi lại, nhưng đây là một tính năng tiện lợi cho phép tạo liên kết đăng nhập trực tiếp.
Để giảm thiểu rủi ro, chủ sở hữu camera Hikvision được khuyến cáo nên cập nhật phần mềm thiết bị lên phiên bản mới nhất. Việc sử dụng mật khẩu mạnh, duy nhất và tránh để lộ giao diện quản lý của camera trực tiếp trên internet cũng rất quan trọng.
Nếu cần truy cập từ xa, nên thực hiện thông qua kết nối VPN an toàn.