Peneliti keamanan telah menemukan lebih dari 80.000 kamera Hikvision yang rentan terhadap cacat injeksi critical command dan mudah dieksploitasi melalui pesan yang dibuat khusus, serta dikirim ke server web yang rentan.
Cacat tersebut dilacak sebagai CVE-2021-36260 dan telah diatasi oleh Hikvision melalui pembaruan firmware pada September 2021.
Namun, menurut whitepaper yang diterbitkan oleh CYFIRMA, puluhan ribu sistem yang digunakan oleh 2.300 perusahaan di 100 negara masih belum menerapkan pembaruan keamanan.
Ada dua eksploitasi publik yang diketahui untuk CVE-2021-36260, satu diterbitkan pada Oktober 2021 dan yang ke-2 pada Februari 2022, sehingga aktor ancaman dari semua tingkat keahlian bisa mencari dan mengeksploitasi kamera yang rentan.
Pada bulan Desember 2021, botnet berbasis Mirai yang disebut ‘Moobot’ menggunakan eksploit tertentu agar menyebar secara agresif dan mendaftarkan sistem ke kawanan DDoS (distributed denial of service).
Pada Januari 2022, CISA mengingatkan bahwa CVE-2021-36260 termasuk dalam bug yang dieksploitasi secara aktif dalam daftar yang diterbitkan saat itu, memperingatkan perusahaan bahwa penyerang dapat “mengambil alih” perangkat dan untuk segera melakukan patch kelemahannya.
Rentan dan Dieksploitasi
CYFIRMA mengatakan forum peretasan berbahasa Rusia sering menjual titik masuk jaringan yang mengandalkan kamera Hikvision dan dapat digunakan baik untuk “botnetting” atau gerakan lateral.
Dari sampel yang dianalisis dari 285.000 server web Hikvision yang terhubung ke internet, perusahaan keamanan siber menemukan sekitar 80.000 masih rentan terhadap eksploitasi.
Sebagian besar terletak di Cina dan Amerika Serikat, sementara Vietnam, Inggris, Ukraina, Thailand, Afrika Selatan, Prancis, Belanda dan Rumania semuanya terhitung di atas 2.000 titik akhir yang rentan.
Sementara eksploitasi kelemahan tidak mengikuti pola tertentu saat ini karena beberapa pelaku ancaman terlibat dalam upaya ini, CYFIRMA menggarisbawahi kasus kelompok peretasan China APT41 dan APT10, serta kelompok ancaman Rusia yang berspesialisasi dalam cyberespionage.
Contoh yang mereka berikan adalah kampanye cyberespionage bernama “think pocket” yang menargetkan produk konektivitas populer dan digunakan di berbagai industri di seluruh dunia sejak Agustus 2021.
“Dari analogi External Threat Landscape Management (ETLM), penjahat dunia maya dari negara-negara yang mungkin tidak memiliki hubungan baik dengan negara lain dapat menggunakan produk kamera Hikvision yang rentan untuk meluncurkan perang dunia maya dengan motivasi geopolitik,” jelas CYFIRMA dalam whitepaper-nya.
Kata Sandi yang Lemah
Terlepas dari kerentanan injeksi perintah, ada juga masalah kata sandi lemah yang disetel pengguna untuk kenyamanan atau yang disertakan dengan perangkat secara default dan tidak disetel ulang saat pemasangan pertama kali.
Peneliti Bleeping Computer telah melihat beberapa penawaran daftar, beberapa bahkan gratis, berisi kredensial untuk umpan video secara langsung dengan kamera Hikvision di forum peretasan clearnet.
Jika kita mengoperasikan kamera Hikvision, kita harus memprioritaskan untuk memasang pembaruan firmware terbaru yang tersedia, menggunakan kata sandi yang kuat, dan mengisolasi jaringan IoT dari aset penting menggunakan firewall atau VLAN.
Bitdefender Network Sensor Add On untuk XDR
Network sensor akan terus-menerus merekam lalu lintas jaringan untuk mengumpulkan peristiwa yang terjadi dari semua endpoint di lingkungan kita.
Network sensor akan memproses dan menyaringnya, kemudian mengirimkan metadata ke mesin GravityZone Security Analytics, sehingga memperkaya konteks insiden lanjutan yang dihasilkan oleh GravityZone.
Recent Comments