网络犯罪分子正在出售中国监控摄像头的访问权限

新研究表明，目前全球有超过8万台海康威视监控摄像头易受一个已存在11个月的命令注入漏洞影响。

海康威视（杭州海康威视数字技术股份有限公司）是一家中国国有视频监控设备制造商。其客户遍布100多个国家（包括美国，尽管FCC在2019年将海康威视标记为“对美国国家安全构成不可接受的风险”）。

去年秋天，海康威视摄像头中的一个命令注入漏洞被公开为CVE-2021-36260。NIST给该漏洞打了9.8分（满分10分）的“严重”评级。

尽管漏洞严重，且事件已发生近一年，仍有超过8万台受影响的设备未打补丁。在此期间，研究人员发现“多个黑客试图合作利用海康威视摄像头的命令注入漏洞”的实例，特别是在俄语暗网论坛上，泄露的凭证已被出售。

已造成的损害程度尚不清楚。报告作者只能推测“中国威胁组织如MISSION2025/APT41、APT10及其附属组织，以及未知的俄罗斯威胁行为者团体可能利用这些设备中的漏洞来实现其动机（可能包括特定的地缘政治考虑）。”

IoT设备的风险

类似事件中，很容易将软件未打补丁归咎于个人和组织的懒惰。但事情并不总是那么简单。

根据Cybrary威胁情报高级总监David Maynor的说法，海康威视摄像头存在漏洞的原因有很多，且已持续一段时间。“他们的产品包含易于利用的系统性漏洞，或者更糟的是，使用默认凭证。没有好的方法进行取证或验证攻击者是否已被清除。此外，我们尚未观察到海康威视的姿态有任何变化，以表明其开发周期中安全性的提高。”

许多问题是行业通病，而不仅仅是海康威视。Comparitech的隐私倡导者Paul Bischoff在通过电子邮件发表的声明中写道：“像摄像头这样的IoT设备并不总是像手机上的应用程序那样容易或直接保护。更新不是自动的；用户需要手动下载和安装它们，许多用户可能永远不会收到消息。此外，IoT设备可能不会给用户任何不安全或过期的指示。而你的手机会在更新可用时提醒你，并可能在你下次重启时自动安装，IoT设备不提供这种便利。”

当用户一无所知时，网络犯罪分子可以使用Shodan或Censys等搜索引擎扫描他们的易受攻击设备。问题当然可能因懒惰而加剧，正如Bischoff指出的，“海康威视摄像头出厂时带有几个预定密码之一，许多用户不更改这些默认密码。”

在安全性弱、可见性和监督不足的情况下，尚不清楚这数万台摄像头何时或是否会被保护。