Novas investigações sugerem que mais de 80.000 câmeras de monitoramento Hikvision no planeta atualmente estão suscetíveis a uma falha de injeção de comando de 11 meses.
Hikvision, abreviação para Hangzhou Hikvision Digital Technology, é uma empresa chinesa que fabrica equipamentos de vigilância de vídeo. Sua clientela abrange mais de 100 nações, incluindo os Estados Unidos, embora a FCC tenha classificado a Hikvision como “um risco inaceitável para a segurança nacional dos EUA” em 2019.
No último otoño, se descobriu um problema de injeção de comando nas câmeras Hikvision, o qual foi classificado como “crítico” com uma pontuação de 9,8/10 pelo NIST, sob o código CVE-2021-36260.
Apesar de ser extremamente séria, a vulnerabilidade tem enfrentado o teste do tempo há quase um ano. No entanto, mais de 80.000 dispositivos ainda estão inacessíveis. Em seguida, os especialistas observaram múltiplas instâncias de piratas informáticos que trabalham para explorar as câmeras Hikvision usando a falha de injeção de comando, especialmente em fóruns de sites escuros da Rússia, onde as senhas vazadas foram colocadas à venda.
O alcance do dano ainda não é conhecido. De acordo com o relatório, os pesquisadores somente podem supor que “grupos de ameaças chineses, como a MISSION2025/APT41, APT10 e seus afiliados, bem como grupos de cibercriminosos de origem russa desconhecidos, podem eventualmente explorar vulnerabilidades nesses dispositivos para satisfazer seus objetivos (que podem envolver considerações geopolíticas específicas)”.
A ameaça existente nos dispositivos de Internet das Coisas é extremamente significativa.
É provável atribuir de forma simplista a preguiça a indivíduos e organizações que não exploram seu software. No entanto, a situação nem sempre é tão direta.
Segundo David Maynor, o diretor sênior de Inteligência de Ameaças da Cybrary, as câmeras Hikvision estão vulneráveis há algum tempo devido a vários fatores. “O seu produto possui falhas de segurança facilmente exploráveis e, pior ainda, usa senhas padrão. Não há maneira alguma de detectar se um invasor conseguiu acessar ou realizar uma análise forense. Além disso, notamos que a Hikvision não tomou a iniciativa de melhorar a segurança durante o processo de desenvolvimento”.
Um monte do problema é endémico para a indústria, não apenas Hikvision. “IoT dispositivos como câmeras nem sempre são tão fáceis ou simples de garantir como um aplicativo em seu telefone”, Paul Bischoff, advogado de privacidade com Comparitech, escreveu em uma declaração via e-mail. “Atualizações não são automáticas; os usuários precisam baixar manualmente e instalá-los, e muitos usuários podem nunca receber a mensagem. Além disso, os dispositivos IoT podem não dar aos usuários qualquer indicação de que eles não estão seguros ou desatualizados. Enquanto o seu telefone irá alertá-lo quando uma atualização estiver disponível e provavelmente instalá-lo automaticamente da próxima vez que reiniciar, os dispositivos IoT não oferecem tais conveniências. ”
Enquanto os usuários não se tornam mais espertos, os cibercriminosos podem usar motores de busca como Shodan ou Censys para encontrar dispositivos vulneráveis. De acordo com Bischoff, essa questão pode piorar devido à preguiça, já que “as câmeras Hikvision vêm com uma das poucas senhas pré-definidas fora da caixa, e muitos usuários não alteram essas senhas padrão”.
Com segurança fraca, visibilidade limitada e supervisão deficiente, não se pode dizer com certeza se ou quando essas centenas de milhares de câmeras jamais serão seguras.
Parafraseado: Por favor, divulgue este artigo.
- A Internet das Coisas (IoT) é uma inovação que tem o potencial de transformar o planeta.
- Todos os seres humanos têm o direito básico à privacidade.
- Vulnerabilidades de segurança são brechas de segurança que podem ser aproveitadas por invasores para danificar o sistema.
