Nuevo la investigación indica que más de 80,000 11 cámaras de vigilancia de Hikvision en el mundo hoy en día son vulnerables a una falla de inyección de comando de XNUMX meses.

Hikvision, abreviatura de Hangzhou Hikvision Digital Technology, es un fabricante estatal chino de equipos de videovigilancia. Sus clientes abarcan más de 100 países (incluido Estados Unidos, a pesar de que la FCC calificó a Hikvision como "un riesgo inaceptable para la seguridad nacional de los Estados Unidos" en 2019).

El otoño pasado, se reveló al mundo una falla de inyección de comando en las cámaras Hikvision como CVE-2021-36260. El exploit recibió una calificación "crítica" de 9.8 sobre 10 por parte del NIST.

A pesar de la gravedad de la vulnerabilidad, y casi un año después de esta historia, más de 80,000 XNUMX dispositivos afectados siguen sin parchear. Desde entonces, los investigadores han descubierto "múltiples instancias de piratas informáticos que buscan colaborar para explotar las cámaras Hikvision utilizando la vulnerabilidad de inyección de comandos", específicamente en los foros rusos de la web oscura, donde se han puesto a la venta las credenciales filtradas.

El alcance del daño ya hecho no está claro. Los autores del informe solo podían especular que “grupos de amenazas chinos como MISSION2025/APT41, APT10 y sus afiliados, así como grupos de actores de amenazas rusos desconocidos, podrían explotar vulnerabilidades en estos dispositivos para cumplir con sus motivos (que pueden incluir geo- consideraciones políticas)”.

El riesgo en los dispositivos IoT

Con historias como esta, es fácil atribuir pereza a las personas y organizaciones que dejan su software sin parchear. Pero la historia no siempre es tan simple.

Según David Maynor, director sénior de inteligencia de amenazas de Cybrary, las cámaras Hikvision han sido vulnerables por muchas razones y durante un tiempo. “Su producto contiene vulnerabilidades sistémicas fáciles de explotar o, lo que es peor, utiliza credenciales predeterminadas. No existe una buena manera de realizar análisis forenses o verificar que un atacante haya sido extirpado. Además, no hemos observado ningún cambio en la postura de Hikvision que señale un aumento en la seguridad dentro de su ciclo de desarrollo”.

Gran parte del problema es endémico de la industria, no solo de Hikvision. “Los dispositivos IoT como las cámaras no siempre son tan fáciles o sencillos de proteger como una aplicación en su teléfono”, escribió Paul Bischoff, defensor de la privacidad de Comparitech, en un comunicado por correo electrónico. “Las actualizaciones no son automáticas; los usuarios deben descargarlos e instalarlos manualmente, y es posible que muchos usuarios nunca reciban el mensaje. Además, es posible que los dispositivos IoT no brinden a los usuarios ninguna indicación de que no están protegidos o están desactualizados. Mientras que su teléfono lo alertará cuando haya una actualización disponible y probablemente la instale automáticamente la próxima vez que reinicie, los dispositivos IoT no ofrecen tales comodidades”.

Si bien los usuarios no saben nada, los ciberdelincuentes pueden buscar sus dispositivos vulnerables con motores de búsqueda como Shodan o Censys. El problema ciertamente puede agravarse con la pereza, como señaló Bischoff, "por el hecho de que las cámaras Hikvision vienen con una de las pocas contraseñas predeterminadas listas para usar, y muchos usuarios no cambian estas contraseñas predeterminadas".

Entre la seguridad débil, la visibilidad y la supervisión insuficientes, no está claro cuándo o si estas decenas de miles de cámaras alguna vez estarán protegidas.