Son expuestas en línea más de 80,000 cámaras Hikvision

Los investigadores de seguridad han descubierto más de 80,000 cámaras Hikvision vulnerables a una falla crítica de inyección de comandos que se puede explotar fácilmente a través de mensajes especialmente diseñados que se envían al servidor web vulnerable.


Cámara Hikvision

La falla se rastrea como CVE-2021-36260 y Hikvision la solucionó a través de una actualización de firmware en septiembre de 2021. Sin embargo, según un documento técnico publicado por CYFIRMA, decenas de miles de sistemas utilizados por 2300 organizaciones en 100 países aún no han aplicado la actualización de seguridad.


Ha habido dos exploits públicos conocidos para CVE-2021-36260, uno publicado en octubre de 2021 y el segundo en febrero de 2022, por lo que los actores de amenazas de todos los niveles pueden buscar y explotar cámaras vulnerables.


En diciembre de 2021, una red de bots basada en Mirai llamada 'Moobot' usó el exploit particular para propagarse agresivamente y alistar sistemas en enjambres DDoS (denegación de servicio distribuida).


En enero de 2022, CISA alertó que CVE-2021-36260 se encontraba entre los errores explotados activamente en la lista publicada en ese momento, advirtiendo a las organizaciones que los atacantes podrían "tomar el control" de los dispositivos y reparar la falla de inmediato.


Vulnerables y explotados


CYFIRMA dice que los foros de piratería de habla rusa a menudo venden puntos de entrada a la red que se basan en cámaras Hikvision explotables que se pueden usar para "botnetting" o movimiento lateral.


Muestra vendida en foros rusos (CYFIRMA)

De una muestra analizada de 285.000 servidores web de Hikvision con conexión a Internet, la empresa de ciberseguridad encontró que aproximadamente 80.000 aún eran vulnerables a la explotación.


La mayoría de estos están ubicados en China y los Estados Unidos, mientras que Vietnam, el Reino Unido, Ucrania, Tailandia, Sudáfrica, Francia, los Países Bajos y Rumania cuentan con más de 2000 puntos finales vulnerables.


Localización de cámaras Hikvision vulnerables (CYFIRMA)

Si bien la explotación de la falla no sigue un patrón específico en este momento, ya que múltiples actores de amenazas están involucrados en este esfuerzo, CYFIRMA destaca los casos de los grupos de piratería chinos APT41 y APT10, así como los grupos de amenazas rusos especializados en ciberespionaje.


Un ejemplo que dan es una campaña de espionaje cibernético llamada "bolsillo de pensamiento", que ha estado apuntando a un producto de conectividad popular utilizado en una variedad de industrias en todo el mundo desde agosto de 2021.


"A partir de una analogía con la gestión del paisaje de amenazas externas (ETLM), los ciberdelincuentes de países que pueden no tener una relación cordial con otras naciones podrían usar los productos de cámaras vulnerables de Hikvision para lanzar una guerra cibernética motivada geopolíticamente", explica CYFIRMA en el documento técnico.


Las contraseñas débiles también son un problema


Además de la vulnerabilidad de inyección de comandos, también existe el problema de las contraseñas débiles que los usuarios configuran por conveniencia o que vienen con el dispositivo de forma predeterminada y no se restablecen durante la primera configuración.


Bleeping Computer ha detectado múltiples ofertas de listas, algunas incluso gratuitas, que contienen credenciales para transmisiones de video en vivo de cámaras Hikvision en foros de piratería de ClearNet.


Usuarios del foro que comparten terminales de Hikvision descifrados

Si opera una cámara Hikvision, debe priorizar la instalación de la última actualización de firmware disponible, usar una contraseña segura y aislar la red IoT de los activos críticos mediante un firewall o VLAN.




Referencias y Créditos:

Bleeping Computer 22 de Agosto. https://www.bleepingcomputer.com/news/security/over-80-000-exploitable-hikvision-cameras-exposed-online/?fbclid=IwAR1qFIjwwqplxHC3qtCTf46amScI3_32R1ksmE31p2EeVx1zG-Y6EbwY1Vs

13 visualizaciones0 comentarios