Posté le août 24, 2022 à 7:55

PLUS DE 80 000 CAMÉRAS HIKVISION SONT VULNÉRABLES EN LIGNE, CONSTATENT DES CHERCHEURS EN SÉCURITÉ

Des chercheurs en sécurité ont découvert que plus de 80 000 caméras Hikvision sont vulnérables à un bug de commande critique. Selon les chercheurs, la vulnérabilité peut être facilement exploitée par le biais de messages spécialement conçus et envoyés au serveur web vulnérable.

La vulnérabilité est répertoriée sous le nom de CVE-2021-36260, avec un correctif fourni par Hikvision via une mise à jour du firmware en septembre dernier.

Mais malgré cette mise à jour, des dizaines de milliers de systèmes utilisés par plus de 2 000 organisations dans plus de 100 pays sont toujours vulnérables. Ces dispositifs vulnérables n’ont pas encore appliqué les mises à jour qui les rendent exploitables.

Deux exploitations publiques connues de la faille

Le rapport révèle également que la vulnérabilité a été exploitée deux fois dans la nature. Il pourrait y avoir d’autres, mais seulement deux exploits publics sont connus. Le premier a été publié en octobre dernier, tandis que le second l’a été en février de cette année. Cela signifie que des hackers aux compétences diverses peuvent rechercher et exploiter les caméras vulnérables.

En décembre dernier, l’exploit a été utilisé par un botnet basé sur Mirai appelé « Moobot » pour se propager en continu et essaimer des systèmes avec des attaques DDoS. En janvier de cette année, la CISA a mis en garde contre la vulnérabilité CVE-2021-36260 et a déclaré que les acteurs de la menace en abusent et l’utilisent pour attaquer les systèmes.

La commission a déclaré que la vulnérabilité figurait parmi les failles activement exploitées dans la liste publiée à l’époque. Elle a averti les utilisateurs et les organisations que les acteurs de la menace pourraient prendre le contrôle de leurs appareils s’ils ne sont pas corrigés.

Les points d’entrée sont vendus sur les forums de piratage russophones

CYFIRMA a révélé que les forums de piratage Russes commercialisent généralement des points d’entrée de réseau qui reposent sur des caméras Hikvision exploitables. Ceux-ci peuvent être exploités pour un mouvement latéral ou un « botneting ». Ils gagnent de plus en plus de clients qui peuvent payer des frais élevés pour obtenir un accès au réseau pour leurs attaques.

Sur les 285 000 échantillons de serveurs Hikvision connectés à Internet analysés, la société de cybersécurité a découvert qu’environ 80 000 d’entre eux étaient encore vulnérables.

La plupart d’entre eux sont situés aux États-Unis et en Chine. En outre, l’Afrique du Sud, la Thaïlande, l’Ukraine, le Royaume-Uni, la Roumanie, les Pays-Bas et le Vietnam comptent tous plus de 2 000 points d’extrémité vulnérables.

Il n’y a pas de modèle spécifique d’exploitation de la vulnérabilité puisque plusieurs hackers sont impliqués dans ces activités. Cependant, CYFIRMA indique que ses chercheurs ont observé certains schémas. La société de cybersécurité a noté que l’exploitation peut être attribuée aux groupes de menaces russes spécialisés dans le cyberespionnage et aux groupes de hackers chinois APT10 et APT41.

La société de cybersécurité a cité l’exemple d’une campagne de cyberespionnage appelée « think pocket ». Les acteurs de la menace ont utilisé pour cibler un produit de connectivité bien connu qui a été utilisé dans différentes industries dans plusieurs régions depuis l’année dernière.

Les utilisateurs ayant des mots de passe faibles pourraient être exposés

Dans un livre blanc, CYFIRMA explique que des acteurs de la menace provenant de pays qui n’entretiennent pas forcément des relations cordiales avec d’autres pays utilisent les produits vulnérables des caméras Hikvison. Ils pourraient utiliser ces produits vulnérables pour mener une cyberguerre à motivation géopolitique. Les acteurs de la menace de pays rivaux sont toujours à la recherche de moyens d’exposer leurs cibles pour marquer des points politiques.

Outre la faille d’injection de commandes, l’utilisation de mots de passe faibles est un autre élément susceptible de donner accès aux acteurs de la menace. Dans la plupart des cas, les utilisateurs préfèrent définir des mots de passe simples qu’ils peuvent facilement retenir. Dans d’autres cas, certains utilisateurs oublient de modifier les mots de passe par défaut associés à un nouvel appareil. Si ces mots de passe ne sont pas réinitialisés lors de la première configuration, les acteurs de la menace peuvent exploiter l’appareil.

Les utilisateurs sont invités à mettre à jour leur caméra et à utiliser des mots de passe forts

Des chercheurs ont identifié plusieurs offres de listes contenant les informations d’identification des flux vidéo en direct des caméras Hikvision sur les forums du darknet. Les utilisateurs de caméra Hikvision ont été invités à mettre à jour leurs systèmes avec la dernière mise à jour disponible du micrologiciel. En outre, ils doivent toujours utiliser un mot de passe fort pour protéger leurs appareils. Les utilisateurs doivent déployer des gestionnaires de mots de passe pour leur permettre de conserver des mots de passe forts sur leurs appareils s’ils ont peur d’oublier le mot de passe. Il a également été conseillé aux utilisateurs d’isoler le réseau IoT des actifs critiques en utilisant un VLAN ou un pare-feu.

Les appareils IoT sont de plus en plus nombreux, et les acteurs de menaces ciblent de plus en plus ces appareils en raison de leurs problèmes de sécurité. Ils sont intégrés à des logiciels et des capteurs qui peuvent collecter et partager des données en ligne. Malheureusement, ces appareils ne sont pas livrés avec l’infrastructure de sécurité la plus solide, ce qui les rend vulnérables aux exploits.