image

Criminelen maken actief misbruik van lek in beveiligingscamera's Hikvision

dinsdag 22 februari 2022, 13:35 door Redactie, 4 reacties

Criminelen maken actief misbruik van een kritieke kwetsbaarheid in beveiligingscamera's van fabrikant Hikvision. De apparaten worden onderdeel gemaakt van een botnet dat ddos-aanvallen uitvoert, maar zijn ook te gebruiken voor verdere aanvallen tegen het achterliggende netwerk, zo waarschuwt securitybedrijf Rapid7. Sinds vorig jaar september zijn er beveiligingsupdates voor het lek beschikbaar.

De kwetsbaarheid, aangeduid als CVE-2021-36260, is aanwezig in de webserver van de Hikvision-camera's en wordt door een onvoldoende controle van gebruikersinvoer veroorzaakt. Door het versturen van speciaal geprepareerd request is het mogelijk voor een aanvaller om een onbeperkte rootshell op het apparaat te krijgen. De aanvaller hoeft daarbij niet over inloggegevens te beschikken.

De enige voorwaarde om de aanval uit te voeren is dat een aanvaller toegang tot de ip-camera heeft. Er is ook geen interactie van de gebruiker vereist. Via de rootshell heeft de aanvaller volledige controle over de ip-camera en kan zo meekijken of malware installeren. Daarnaast is het mogelijk om vanaf de gecompromitteerde camera het achterliggende netwerk aan te vallen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9.8 beoordeeld.

Via zoekmachine Shodan zijn meer dan drie miljoen Hikvision-apparaten te vinden. Hoewel alleen een subset van modellen kwetsbaar is, gaat het nog steeds om mogelijk veel kwetsbare camera's, meldt Rapid7. De camera's beschikken niet over een automatische updatefunctie en worden binnen het patchmanagement vaak vergeten, waardoor gebruikers en organisaties met kwetsbare apparaten blijven zitten, zo laat het securitybedrijf verder weten.

Sinds afgelopen december maakt het ddos-botnet Moobot gebruik van de kwetsbaarheid om Hikvision-camera's te infecteren en voor ddos-aanvallen te gebruiken. Volgens Rapid7 is dat niet de grootste zorg. Een veel groter probleem is dat aanvallers de gecompromitteerde camera's als springplank voor aanvallen tegen het achterliggende netwerk kunnen gebruiken. "En omdat de camera geen manier heeft om interne malware te vinden en verwijderen, is het een ideale plek voor een aanvaller om zich te verbergen en aanvallen vandaan uit te voeren", aldus de onderzoekers.

Reacties (4)
22-02-2022, 13:46 door Anoniem
"En omdat de camera geen manier heeft om interne malware te vinden en verwijderen, is het een ideale plek voor een aanvaller om zich te verbergen en aanvallen vandaan uit te voeren"

Ja voor thuisgebruikers en klein bedrijf. Maar als je dit spul hebt hangen in een enterprise omgeving mag ik toch hopen op o.a. VLAN + netwerkverkeer monitoring waardoor je het wel opmerkt (of een volledig gescheiden netwerk van de kantoor/productie omgeving). Maar ja, ik ben wel vaker verbaasd :-)
22-02-2022, 15:32 door Anoniem
Even de Nederlandse CISO navragen.... en de instantie die die camera's certificeert
23-02-2022, 06:28 door Anoniem
Ditzelfde was van een Beveiligings bedrijf die monitorde in Groesbeek die hadden een ronde camera waarmee ze alle tieners konden monitoren en toezicht hadden tot het hele dorp en zo ook de buslijn konden volgen. Dit heb ik gemeld bij de Rabobank
24-02-2022, 23:43 door [Account Verwijderd]
Door Anoniem: Ditzelfde was van een Beveiligings bedrijf die monitorde in Groesbeek die hadden een ronde camera waarmee ze alle tieners konden monitoren en toezicht hadden tot het hele dorp en zo ook de buslijn konden volgen. Dit heb ik gemeld bij de Rabobank

1) Oei, geen vierkante camera.
2) Speciale cam laten installeren voor ouderen.
3) Ik wil ook een camera waarmee ik de hele stad kan overzien
4) Met bustracker zelfs!
5) Waarom niet de Triodos bank? Die houden zo van bomen!
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.