网络犯罪分子正在出售中国监控摄像头的访问权限

新的研究表明，目前全球有超过8万台海康威视监控摄像头易受一个已存在11个月之久的命令注入漏洞攻击。

海康威视（杭州海康威视数字技术股份有限公司的简称）是一家中国国有视频监控设备制造商。其客户遍布100多个国家（包括美国，尽管美国联邦通信委员会在2019年将海康威视标记为“对美国国家安全构成不可接受的风险”）。

去年秋天，海康威视摄像头中的一个命令注入漏洞以CVE-2021-36260的编号公之于众。美国国家标准与技术研究院（NIST）给该漏洞的评分是“严重”的9.8分（满分10分）。

尽管该漏洞非常严重，且事件已过去近一年，仍有超过8万台受影响的设备未安装补丁。在此期间，研究人员发现“多个黑客实例试图合作利用该命令注入漏洞攻击海康威视摄像头”，特别是在俄语暗网论坛上，泄露的访问凭证已被公开出售。

已经造成的损害程度尚不清楚。报告的作者只能推测，“中国的威胁组织如MISSION2025/APT41、APT10及其附属组织，以及未知的俄罗斯威胁行为者团体，都可能利用这些设备中的漏洞来实现其目的（其中可能包括特定的地缘政治考量）。”

物联网设备的风险

在这样的故事中，人们很容易将软件未打补丁归咎于个人或组织的懒惰。但情况并非总是如此简单。

根据Cybrary威胁情报高级总监David Maynor的说法，海康威视摄像头存在漏洞的原因很多，且由来已久。“他们的产品包含易于利用的系统性漏洞，或者更糟的是，使用了默认凭证。没有好的方法来进行取证或验证攻击者是否已被清除。此外，我们尚未观察到海康威视在其开发周期中有任何表明其安全状况得到改善的迹象。”

很多问题是这个行业的通病，而不仅仅是海康威视。Comparitech的隐私倡导者Paul Bischoff在一份电子邮件声明中写道：“像摄像头这样的物联网设备，并不总是像手机上的应用程序那样容易或直接地进行安全保护。更新不是自动的；用户需要手动下载并安装它们，而许多用户可能永远收不到更新消息。此外，物联网设备可能不会给用户任何提示，表明它们处于不安全或过时的状态。你的手机会在有可用更新时提醒你，并可能在下次重启时自动安装，而物联网设备则不提供此类便利。”

当用户毫不知情时，网络犯罪分子可以使用Shodan或Censys等搜索引擎扫描他们的易受攻击设备。正如Bischoff指出的，懒惰确实会加剧问题，“海康威视摄像头出厂时预置了少数几个预设密码之一，而许多用户不会更改这些默认密码。”

在薄弱的安全性、不足的可见性和监督之间，尚不清楚这数万台摄像头何时（或是否）能够被修复。