网络犯罪分子正在出售中国监控摄像头的访问权限

最新研究表明，目前全球超过8万台海康威视监控摄像头易受一个已存在11个月的命令注入漏洞影响。

海康威视（杭州海康威视数字技术股份有限公司）是中国国有视频监控设备制造商，其客户遍布100多个国家（包括美国，尽管FCC在2019年将海康威视标记为“对美国国家安全构成不可接受的风险”）。

去年秋季，海康威视摄像头中的命令注入漏洞被公开披露，编号为CVE-2021-36260。美国国家标准与技术研究院（NIST）给该漏洞打出了9.8分（满分10分）的“严重”评级。

尽管漏洞严重，且事件已过去近一年，仍有超过8万台受影响设备未打补丁。研究人员发现“多个黑客试图合作利用海康威视摄像头命令注入漏洞的实例”，特别是在俄罗斯暗网论坛上，泄露的凭证正在被出售。

已造成的损害程度尚不清楚。报告作者只能推测“中国威胁组织如MISSION2025/APT41、APT10及其附属组织，以及未知的俄罗斯威胁行为者团体可能利用这些设备中的漏洞来实现其动机（可能包括特定的地缘政治考量）”。

IoT设备的风险

Cybrary威胁情报高级总监David Maynor表示，海康威视摄像头存在漏洞有多种原因，且已持续一段时间：“他们的产品包含易于利用的系统性漏洞，或者更糟的是使用默认凭证。没有好的方法进行取证或验证攻击者是否已被清除。此外，我们尚未观察到海康威视的立场有任何变化，表明其开发周期中的安全性有所提高。”

Comparitech隐私倡导者Paul Bischoff通过电子邮件表示：“像摄像头这样的IoT设备并不总是像手机上的应用程序那样容易或直接保护。更新不是自动的；用户需要手动下载和安装，许多用户可能永远不会收到消息。此外，IoT设备可能不会给用户任何不安全或过期的指示。”

当用户毫不知情时，网络犯罪分子可以使用Shodan或Censys等搜索引擎扫描他们的易受攻击设备。Bischoff指出，问题可能因懒惰而加剧，“海康威视摄像头开箱即用几个预定密码之一，许多用户不会更改这些默认密码。”

在安全性薄弱、可见性和监督不足的情况下，尚不清楚这数万台摄像头何时或是否会被保护。