Σοβαρό κενό ασφάλειας Hikvision CVE (Common Vulnerabilities and Exposures), που είχε κυκλοφορήσει προ 11 μηνών και επηρεάζει δεκάδες χιλιάδες κάμερες δεν έχει επιδιορθωθεί, αφήνοντας χιλιάδες επιχειρήσεις και εταιρείες ευάλωτες.
Ερευνητές της εταιρείας κυβερνοασφάλειας NCC Group εντόπισαν μια CVE (κοινή ευπάθεια ασφαλείας) στις κάμερες επιτήρησης της κινεζικής εταιρείας Hikvision. Η ευπάθεια επιτρέπει σε έναν εισβολέα να εκτελέσει κώδικα στη συσκευή, γεγονός που μπορεί να του δώσει πλήρη πρόσβαση στις κάμερες.
Η ευπάθεια δημοσιεύτηκε τον Ιανουάριο του 2023, αλλά μέχρι στιγμής μόνο ένα μικρό ποσοστό των επηρεαζόμενων καμερών έχει επιδιορθωθεί. Αυτό σημαίνει ότι χιλιάδες σπίτια, εταιρείες, επιχειρήσεις και δημόσιοι οργανισμοί είναι ευάλωτοι σε επιθέσεις που θα μπορούσαν να έχουν σημαντικές επιπτώσεις.
Παρά την σοβαρότητα της ευπάθειας, και σχεδόν ένα χρόνο μετά την ανακάλυψή της, πάνω από 80.000 επηρεαζόμενες συσκευές παραμένουν μη επιδιορθωμένες.
Από τότε, οι ερευνητές έχουν ανακαλύψει “πολλαπλές περιπτώσεις χάκερ που προσπαθούν να συνεργαστούν για να εκμεταλλευτούν τις κάμερες Hikvision χρησιμοποιώντας την ευπάθεια της εντολής εισαγωγής (command injection vulnerability)”, συγκεκριμένα σε ρωσικά φόρουμ του σκοτεινού ιστού, όπου έχουν ήδη διατεθεί προς πώληση κλεμμένα διαπιστευτήρια.
Σοβαρό κενό ασφάλειας Hikvision
Παρά την σοβαρότητα της ευπάθειας, και το κενό ασφάλειας Hikvision σχεδόν ένα χρόνο μετά την ανακάλυψή της, πάνω από 80.000 επηρεαζόμενες συσκευές παραμένουν μη επιδιορθωμένες.
Από τότε, οι ερευνητές έχουν ανακαλύψει “πολλαπλές περιπτώσεις χάκερ που προσπαθούν να συνεργαστούν για να εκμεταλλευτούν τις κάμερες Hikvision χρησιμοποιώντας την ευπάθεια της εντολής εισαγωγής”, συγκεκριμένα σε ρωσικά φόρουμ του σκοτεινού ιστού, όπου έχουν διατεθεί προς πώληση κλεμμένα διαπιστευτήρια.
Το μέγεθος της ζημιάς που έχει ήδη προκληθεί δεν μπορεί να προσδιοριστεί με σαφήνεια, αλλά υπολογίζουν ότι είναι πολύ μεγάλο. Οι συγγραφείς της έκθεσης μπορούσαν μόνο να εικάσουν ότι “κινεζικές ομάδες απειλών όπως MISSION2025, APT41, APT10 και οι συνεργάτες τους, καθώς και μικρές ή μεσαίες ρωσικές ομάδες απειλών θα μπορούσαν να εκμεταλλευτούν τις ευπάθειες αυτών των συσκευών για να εκπληρώσουν τους σκοπούς τους (οι οποίοι σίγουρα είναι παράνομοι)”.
Σοβαρό κενό ασφάλειας Hikvision - Ο κίνδυνος στις συσκευές IoT
Όταν διαβάζουμε τέτοιες υποθέσεις σε καταναλωτικά προϊόντα είναι εύκολο να καταλάβουμε ότι πολλές εταιρείες (ιδιαίτερα μεγάλες) δεν ασχολούνται όπως πρέπει με τα προϊόντα και το λογισμικό των προϊόντων τους σε τακτική βάση. Πολλές φορές δεν μπαίνουν καν στην διαδικασία δημιουργίας ενημερωτικών εκδόσεων του λογισμικού τους προς διόρθωση.
Σύμφωνα με τον David Maynor, διευθυντή threat intelligence στο Cybrary, οι κάμερες Hikvision έχουν ευπάθειες για πολλούς λόγους, και για αρκετό καιρό. “Το προϊόν τους περιέχει συστημικές ευπάθειες που είναι εύκολο να εκμεταλλευτούν οι χάκερ, ακόμη χειρότερα όμως, χρησιμοποιεί προκαθορισμένα διαπιστευτήρια σε όλα τα προϊόντα της. Επιπλέον δεν υπάρχει καλός τρόπος να πραγματοποιηθεί έρευνα ή να επαληθευτεί ότι ένας εισβολέας έχει εξαλειφθεί. Επιπλέον, δεν έχουμε παρατηρήσει καμία αλλαγή στη στάση της Hikvision για να υποδηλώσει αύξηση της ασφάλειας στο κύκλο ανάπτυξης της.”
Ένα μεγάλο μέρος του προβλήματος είναι ενδημικό στην βιομηχανία πληροφορικής, όχι μόνο στην Hikvision.
Σοβαρό κενό ασφάλειας Hikvision - Συσκευές IoT
Οι συσκευές IoT (Internet of Things) όπως είναι οι κάμερες και διάφορες άλλες καταναλωτικές συσκευές δεν είναι πάντα τόσο εύκολες ή σαφείς στην ασφάλεια όσο μια εφαρμογή στο τηλέφωνό σας.
Οι ενημερώσεις δεν είναι αυτόματες. Οι χρήστες πρέπει να κατεβάσουν και να εγκαταστήσουν τα ενημερωμένα προγράμματα μόνοι τους, και πολλοί χρήστες μπορεί να μην λάβουν ποτέ το μήνυμα ενημέρωσης.
Επιπλέον, οι συσκευές IoT ενδέχεται να μην παρέχουν στους χρήστες καμία ένδειξη ότι δεν είναι ασφαλείς ή ότι είναι ξεπερασμένες. Ενώ το τηλέφωνό σας θα σας ειδοποιήσει όταν είναι διαθέσιμη μια ενημέρωση και πιθανότατα θα την εγκαταστήσει αυτόματα την επόμενη φορά που θα το επανεκκινήσετε, οι συσκευές IoT δεν προσφέρουν τέτοιες ευκολίες.
Ενώ οι χρήστες δεν γνωρίζουν τι μπορεί να συμβαίνει, οι εγκληματίες στον κυβερνοχώρο μπορούν να σαρώσουν για τις ευάλωτες συσκευές τους με μηχανές αναζήτησης όπως το Shodan ή το Censys.
Το πρόβλημα σίγουρα μπορεί να επιδεινωθεί με την άρνηση των εταιρειών να αλλάξουν την φιλοσοφία τους στο θέμα της ασφάλειας.
Με το γεγονός ότι οι κάμερες Hikvision έρχονται με προκαθορισμένους κωδικούς πρόσβασης εκτός συσκευασίας και πολλοί χρήστες δεν αλλάζουν αυτούς τους προεπιλεγμένους κωδικούς πρόσβασης, με αδύναμη ασφάλεια και ανεπαρκή εποπτεία είναι άγνωστο πότε ή εάν αυτές οι δεκάδες χιλιάδες κάμερες θα ασφαλιστούν ποτέ.
