Criminelen maken actief misbruik van een kritieke kwetsbaarheid in beveiligingscamera's van fabrikant Hikvision. De apparaten worden onderdeel gemaakt van een botnet dat ddos-aanvallen uitvoert, maar zijn ook te gebruiken voor verdere aanvallen tegen het achterliggende netwerk, zo waarschuwt securitybedrijf Rapid7. Sinds vorig jaar september zijn er beveiligingsupdates voor het lek beschikbaar.
De kwetsbaarheid, aangeduid als CVE-2021-36260, is aanwezig in de webserver van de Hikvision-camera's en wordt door een onvoldoende controle van gebruikersinvoer veroorzaakt. Door het versturen van speciaal geprepareerd request is het mogelijk voor een aanvaller om een onbeperkte rootshell op het apparaat te krijgen. De aanvaller hoeft daarbij niet over inloggegevens te beschikken.
De enige voorwaarde om de aanval uit te voeren is dat een aanvaller toegang tot de ip-camera heeft. Er is ook geen interactie van de gebruiker vereist. Via de rootshell heeft de aanvaller volledige controle over de ip-camera en kan zo meekijken of malware installeren. Daarnaast is het mogelijk om vanaf de gecompromitteerde camera het achterliggende netwerk aan te vallen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9.8 beoordeeld.
Via zoekmachine Shodan zijn meer dan drie miljoen Hikvision-apparaten te vinden. Hoewel alleen een subset van modellen kwetsbaar is, gaat het nog steeds om mogelijk veel kwetsbare camera's, meldt Rapid7. De camera's beschikken niet over een automatische updatefunctie en worden binnen het patchmanagement vaak vergeten, waardoor gebruikers en organisaties met kwetsbare apparaten blijven zitten, zo laat het securitybedrijf verder weten.
Sinds afgelopen december maakt het ddos-botnet Moobot gebruik van de kwetsbaarheid om Hikvision-camera's te infecteren en voor ddos-aanvallen te gebruiken. Volgens Rapid7 is dat niet de grootste zorg. Een veel groter probleem is dat aanvallers de gecompromitteerde camera's als springplank voor aanvallen tegen het achterliggende netwerk kunnen gebruiken. "En omdat de camera geen manier heeft om interne malware te vinden en verwijderen, is het een ideale plek voor een aanvaller om zich te verbergen en aanvallen vandaan uit te voeren", aldus de onderzoekers.
Deze posting is gelocked. Reageren is niet meer mogelijk.