Más de 80,000 cámaras Hikvision vulnerables están expuestas en línea

Los investigadores de seguridad han descubierto más de 80,000 cámaras Hikvision vulnerables a una falla crítica de inyección de comandos. Esta vulnerabilidad se puede explotar fácilmente a través de mensajes especialmente diseñados que se envían al servidor web vulnerable.

La vulnerabilidad fue identificada como CVE-2021-36260 y Hikvision la solucionó a través de una actualización de firmware en septiembre de 2021.

Sin embargo, según un documento técnico publicado por CYFIRMA, decenas de miles de sistemas utilizados por 2,300 organizaciones en 100 países aún no han aplicado la actualización de seguridad.

Ha habido dos exploits públicos conocidos para CVE-2021-36260. El primero fue publicado en octubre de 2021 y el segundo en febrero de 2022. Por lo tanto, los ciberdelincuentes de todos los niveles pueden buscar y explotar cámaras vulnerables.

En diciembre de 2021, una red de bots basada en Mirai llamada ‘Moobot’ usó el exploit particular para propagarse agresivamente y alistar sistemas en enjambres DDoS (denegación de servicio distribuida).

En enero de 2022, CISA alertó que CVE-2021-36260 se encontraba entre las vulnerabilidades explotadas activamente en la lista publicada en ese momento. La CISA advirtió a las organizaciones que los atacantes podrían “tomar el control” de los dispositivos y reparar la falla de inmediato.

Vulnerables y explotadas

CYFIRMA dice que los foros de hacking de habla rusa a menudo venden puntos de entrada a la red que se basan en cámaras Hikvision explotables que se pueden usar para “botnetting” o movimiento lateral.

De una muestra analizada de 285,000 servidores web de Hikvision con conexión a Internet, la empresa de ciberseguridad encontró que aproximadamente 80,000 aún eran vulnerables a la explotación.

La mayoría de estos están ubicados en China y los Estados Unidos. Asimismo, Vietnam, el Reino Unido, Ucrania, Tailandia, Sudáfrica, Francia, los Países Bajos y Rumania cuentan con más de 2,000 puntos finales vulnerables.

Si bien la explotación de la vulnerabilidad no sigue un patrón específico en este momento, ya que múltiples atacantes están involucrados en este esfuerzo, CYFIRMA destaca los casos de los grupos de hacking chinos APT41 y APT10, así como los ciberdelincuentes rusos especializados en ciberespionaje.

Un ejemplo que dan es una campaña de espionaje cibernético llamada “think pocket”. La campaña ha estado apuntando a un producto de conectividad popular utilizado en una variedad de industrias en todo el mundo desde agosto de 2021.

“A partir de una analogía con External Threat Landscape Management (ETLM), los ciberdelincuentes de países que pueden no tener una relación cordial con otras naciones podrían usar los productos de cámaras vulnerables de Hikvision para lanzar una guerra cibernética motivada geopolíticamente”.

Explicación de CYFIRMA en el documento técnico.

El riesgo en los dispositivos de Internet de las Cosas (IoT)

Según David Maynor, director sénior de inteligencia de amenazas de Cybrary, las cámaras Hikvision han sido vulnerables por muchas razones y durante un tiempo. 

“Su producto contiene vulnerabilidades sistémicas fáciles de explotar o, lo que es peor, utiliza credenciales predeterminadas. No existe una buena manera de realizar análisis forenses o verificar que un atacante haya sido eliminado. Además, no hemos observado ningún cambio en la postura de Hikvision que señale un aumento en la seguridad dentro de su ciclo de desarrollo”.

Gran parte del problema es endémico de la industria, no solo de Hikvision. “Los dispositivos IoT como las cámaras no siempre son tan fáciles o sencillos de proteger como una aplicación en tu teléfono”

“Las actualizaciones no son automáticas; los usuarios deben descargarlas e instalarlas manualmente, y es posible que muchos usuarios nunca reciban el mensaje. Además, es posible que los dispositivos IoT no brinden a los usuarios ninguna indicación de que no están protegidos o están desactualizados. Mientras que tu teléfono te alertará cuando haya una actualización disponible y probablemente la instale automáticamente la próxima vez que reinicies, los dispositivos IoT no ofrecen tales comodidades”.

Paul Bischoff, defensor de la privacidad de Comparitech, en un comunicado. 

Si bien los usuarios no saben nada, los ciberdelincuentes pueden buscar sus dispositivos vulnerables con motores de búsqueda como Shodan o Censys. El problema ciertamente puede agravarse con la pereza. Específicamente, “por el hecho de que las cámaras Hikvision vienen con contraseñas predeterminadas listas para usar, y muchos usuarios no cambian estas contraseñas predeterminadas”.

Entre la seguridad débil, la visibilidad y la supervisión insuficientes, no está claro cuándo o si estas decenas de miles de cámaras alguna vez estarán protegidas.

Las contraseñas débiles también son un problema

Además de la vulnerabilidad de inyección de comandos, también existe el problema de las contraseñas débiles que los usuarios configuran por conveniencia o que vienen con el dispositivo de forma predeterminada y no se restablecen durante la primera configuración.

Investigadores han detectado múltiples ofertas de listas, algunas incluso gratuitas, que contienen credenciales para transmisiones de video en vivo de cámaras Hikvision en foros de hacking de internet público. 

Si operas una cámara Hikvision, debes priorizar la instalación de la última actualización de firmware disponible. Además, debes usar una contraseña segura y aislar la red IoT de los activos críticos mediante un firewall o VLAN.