网络犯罪分子正在售卖中国监控摄像头的访问权限 | Threatpost

作者：Nate Nelson 2022年8月25日 下午2:47

由于未能修补一个已存在11个月的关键通用漏洞披露（CVE），数万台摄像头面临风险，导致数千家组织暴露于威胁之下。

新的研究表明，目前全球有超过8万台海康威视监控摄像头易受一个已披露11个月之久的命令注入漏洞影响。海康威视（杭州海康威视数字技术股份有限公司的简称）是中国国有视频监控设备制造商。其客户遍布100多个国家（包括美国，尽管美国联邦通信委员会在2019年将海康威视标记为“对美国国家安全构成不可接受的风险”）。

去年秋天，海康威视摄像头中的一个命令注入漏洞以CVE-2021-36260的形式公之于众。美国国家标准与技术研究院（NIST）为该漏洞利用评定了“严重”等级，得分高达9.8分（满分10分）。

尽管该漏洞严重性极高，且事件已过去近一年，仍有超过8万台受影响的设备未安装补丁。在此期间，研究人员发现“多起黑客试图合作利用海康威视摄像头命令注入漏洞的案例”，特别是在俄语暗网论坛上，泄露的设备凭证已被挂牌出售。

目前已造成的损害程度尚不清楚。报告作者只能推测：“中国威胁组织如MISSION2025/APT41、APT10及其附属组织，以及未知的俄罗斯威胁行为者团体，可能利用这些设备中的漏洞来实现其目的（其中可能包括特定的地缘政治考量）。”

物联网设备的风险

面对此类事件，人们很容易将未修补软件的行为归咎于个人和组织的懈怠。但情况并非总是如此简单。

据Cybrary威胁情报高级总监David Maynor称，海康威视摄像头存在漏洞的原因很多，且已持续一段时间。“他们的产品包含容易利用的系统性漏洞，或者更糟的是，使用了默认凭据。没有好的方法进行取证或验证攻击者是否已被清除。此外，我们尚未观察到海康威视在开发周期中加强安全性的任何姿态变化。”

很多问题在该行业普遍存在，并非海康威视独有。“像摄像头这样的物联网设备，其安全性并不总是像手机上的应用程序那样容易或直接维护，”Comparitech的隐私倡导者Paul Bischoff通过电子邮件发表声明称。“更新不是自动的；用户需要手动下载和安装，而许多用户可能永远不会收到更新消息。此外，物联网设备可能不会向用户提供任何设备不安全或已过时的指示。你的手机在有可用更新时会提醒你，并可能在下一次重启时自动安装，而物联网设备则不提供此类便利。”

在用户毫不知情的情况下，网络犯罪分子可以使用Shodan或Censys等搜索引擎扫描他们易受攻击的设备。Bischoff指出，这个问题无疑会因懈怠而加剧，“因为海康威视摄像头出厂时预装了几个预设密码之一，而许多用户不更改这些默认密码。”

在薄弱的安全性、不足的可见性和监管之间，尚不清楚这数万台摄像头何时（或是否）能够得到保护。