Decenas de miles de cámaras Hikvision quedan expuestas en línea con un error que podría permitir a los atacantes inyectar código malicioso de forma remota y eventualmente tomar el control de la red.
Esto fue descubierto por los investigadores de CYFIRMA, quienes analizaron más de 285 000 servidores Hikvision frente a Internet y encontraron más de 80 000 como vulnerables. Aunque Hikvision lanzó un parche para este error en septiembre del año pasado, miles de organizaciones aún no lo han aplicado.
Vulnerabilidad de seguridad en cámaras Hikvision
Hikvision es uno de los principales fabricantes chinos de cámaras de vigilancia dirigidas a organizaciones para proteger sus lugares. Los administradores del sistema que administren estos deben estar activos para parchear cualquier vulnerabilidad conocida, ya que piratear las cámaras de seguridad puede causar consecuencias no deseadas para la empresa en general si están conectadas a la red.
Y esto es lo que advertían los investigadores de CYFIRMA, que en un papel blancodeclaró que más de 80,000 cámaras Hikvision quedan vulnerables a los ataques. Están hablando de CVE-2021-36260, una vulnerabilidad de inyección de comando remoto que el fabricante reconoció el año pasado y también lanzó un parche.
Sin embargo, alrededor de 2300 organizaciones en 100 países todavía han aplicado este parche, dicen los investigadores de CYFIRMA. También notaron dos exploits públicos conocidos para este error: uno publicado en octubre 2021 y el segundo en febrero 2022.
Estos llevaron a muchos actores de amenazas, incluida una red de bots basada en Mirai llamada ‘Moobot‘, para explotar las cámaras vulnerables y agregarlas a sus listas DDoS. En enero de 2022, CISA incluso señaló que CVE-2021-36260 era uno de los errores explotados activamente e instó a la gente a parchear.
Sin embargo, aún quedan más de 80 000 servidores web de Hikvision en línea con esta vulnerabilidad, contraseñas débiles o las credenciales predeterminadas establecidas en el momento de la configuración. La mayoría se encuentran en China y los EE. UU., mientras que Vietnam, el Reino Unido, Ucrania, Tailandia, Sudáfrica, Francia, los Países Bajos y Rumania se encuentran en la lista de los 10 principales.
Advirtiendo a la gente de los posibles ataques, los investigadores aconsejaron a las personas que aplicar la actualización del parche inmediatamente, establezca una contraseña segura y aísle la red IoT de otros activos críticos de la empresa utilizando un firewall o VLAN.
