Online camera beelden doorverkocht
Tientallen duizenden camera’s zijn er niet in geslaagd om een kritische, 11 maanden oude CVE te patchen, wat duizenden organisaties blootstelt. Volgens nieuw onderzoek zijn er wereldwijd meer dan 80.000 Hikvision-beveiligingscamera’s kwetsbaar voor een commandoinjectiekwaal van 11 maanden oud. Hikvision – kort voor Hangzhou Hikvision Digital Technology – is een Chinese staatsbezit fabrikant van videobewakingsapparatuur. Hun klanten spannen over meer dan 100 landen (waaronder de Verenigde Staten, ondanks dat de FCC Hikvision in 2019 heeft aangeduid als “een onaanvaardbaar risico voor de nationale veiligheid van de Verenigde Staten”).
Afgelopen najaar werd een commandoinjectiekwaal in Hikvision-camera’s bekendgemaakt aan de wereld als CVE-2021-36260. De exploitatie kreeg een “kritieke” waardering van 9,8 op een schaal van 10 van NIST. Ondanks de ernst van de kwetsbaarheid, en bijna een jaar later, zijn er nog steeds meer dan 80.000 beïnvloede apparaten niet gepatched. In de tussentijd hebben de onderzoekers “meerdere gevallen van hackers die samen willen werken aan het exploiteren van Hikvision-camera’s met behulp van de commandoinjectiekwetsbaarheid” ontdekt, met name in Russische dark web-forums, waar gelekte credentials te koop worden aangeboden.
De omvang van de al aangerichte schade is onduidelijk. De auteurs van het rapport konden alleen speculeren dat “Chinese bedreigingsgroepen zoals MISSION2025/APT41, APT10 en zijn afdelingen, evenals onbekende Russische bedreigingsacteursgroepen mogelijk de kwetsbaarheden in deze apparaten kunnen exploiteren om hun motieven te vervullen (wat specifieke geopolitieke overwegingen kan omvatten)”.
Het risico van IoT (Internet of Things) apparaten
Met verhalen als deze is het gemakkelijk om luiheid toe te schrijven aan individuen en organisaties die hun software niet patchen. Maar het verhaal is niet altijd zo eenvoudig. Volgens David Maynor, senior director van bedreigingsintelligentie bij Cybrary, zijn Hikvision-camera’s om veel redenen en al een tijdje kwetsbaar. “Hun product bevat gemakkelijk te exploiteren systematische kwetsbaarheden of erger, gebruikt standaardcredentials. Er is geen goede manier om forensisch onderzoek te verrichten of te verifiëren dat een aanvaller is verwijderd. Bovendien hebben we geen verandering waargenomen in de houding van Hikvision om een verhoogde beveiliging binnen hun ontwikkelcyclus aan te geven.”
Veel van het probleem is endemisch voor de industrie, niet alleen voor Hikvision. “IoT-apparaten zoals camera’s zijn niet altijd zo gemakkelijk of rechtstreeks te beveiligen als een app op je telefoon”, zei Paul Bischoff, privacyvoorvechter bij Comparitech, in een verklaring per e-mail. “Updates zijn niet automatisch; gebruikers moeten ze handmatig downloaden en installeren, en veel gebruikers krijgen de boodschap misschien nooit. Bovendien kunnen IoT-apparaten gebruikers geen indicatie geven dat ze onbeveiligd of verouderd zijn. Terwijl je telefoon je waarschuwt wanneer er een update beschikbaar is en deze waarschijnlijk automatisch installeert bij de volgende herstart, bieden IoT-apparaten deze gemakken niet.”
Terwijl gebruikers niet op de hoogte zijn, kunnen cybercriminelen hun kwetsbare apparaten scannen met zoekmachines zoals Shodan of Censys. Het probleem kan zeker worden verergerd door luiheid, zoals Bischoff opmerkte, “door het feit dat Hikvision-camera’s worden geleverd met één van een paar voorgedefinieerde wachtwoorden uit de doos, en veel gebruikers veranderen deze standaardwachtwoorden niet”.
Door de zwakke beveiliging, onvoldoende zichtbaarheid en toezicht is het onduidelijk wanneer of of deze tientallen duizenden camera’s ooit beveiligd zullen zijn.