网络犯罪分子正在出售中国监控摄像头的访问权限

最新研究表明，全球目前有超过8万台海康威视监控摄像头易受一个已存在11个月的命令注入漏洞影响。

海康威视（杭州海康威视数字技术股份有限公司）是中国国有视频监控设备制造商。其客户遍布100多个国家（包括美国，尽管FCC在2019年将海康威视标记为"对美国国家安全构成不可接受的风险"）。

去年秋季，海康威视摄像头中的命令注入漏洞被公开为CVE-2021-36260。该漏洞被NIST评为9.8分（满分10分）的"严重"级别。

尽管漏洞严重，且事件已发生近一年，仍有超过8万台受影响的设备未打补丁。在此期间，研究人员发现"多个黑客试图合作利用海康威视摄像头的命令注入漏洞"的实例，特别是在俄罗斯暗网论坛上，泄露的凭证已被出售。

已造成的损害程度尚不清楚。报告作者只能推测"中国威胁组织如MISSION2025/APT41、APT10及其附属组织，以及未知的俄罗斯威胁行为者团体可能利用这些设备中的漏洞来实现其动机（可能包括特定的地缘政治考虑）"。

IoT设备的风险

类似事件中，很容易将软件未打补丁归咎于个人和组织的懒惰。但事情并不总是那么简单。

根据Cybrary威胁情报高级总监David Maynor的说法，海康威视摄像头存在漏洞有多种原因，且已持续一段时间。“他们的产品包含易于利用的系统性漏洞，或者更糟的是使用默认凭证。没有好的方法进行取证或验证攻击者是否已被清除。此外，我们尚未观察到海康威视立场的任何变化，表明其开发周期中安全性的提高。”

很多问题是行业通病，不仅仅是海康威视。Comparitech隐私倡导者Paul Bischoff通过电子邮件在声明中写道：“像摄像头这样的IoT设备并不总是像手机上的应用程序那样容易或直接保护。更新不是自动的；用户需要手动下载和安装，许多用户可能永远不会收到消息。此外，IoT设备可能不会给用户任何不安全或过期的指示。而你的手机会在更新可用时提醒你，并可能在下次重启时自动安装，IoT设备不提供这种便利。”

当用户毫不知情时，网络犯罪分子可以使用Shodan或Censys等搜索引擎扫描他们的易受攻击设备。正如Bischoff指出的，问题肯定会因懒惰而加剧，“海康威视摄像头开箱即用带有几个预定密码之一，许多用户不更改这些默认密码。”

在弱安全性、不足的可见性和监督之间，尚不清楚这数万台摄像头何时或是否会被保护。