80 000 caméras Hikvision exposées aux pirates

Plus de 80 000 caméras de vidéosurveillance fabriquées par la société d’État chinoise Hikvision ont été exposées en ligne après que les propriétaires n’ont pas réussi à installer une mise à jour du micrologiciel publiée l’année dernière ou ont laissé les mots de passe par défaut en place lors de la première configuration des appareils, selon une nouvelle étude.

Une faille connue sous le nom de CVE-2021-36260, repérée pour la première fois l’année dernière, est facilement exploitable via un message spécialement envoyé au serveur Web vulnérable lié à la caméra. Il a été résolu par Hikvision via une mise à jour du micrologiciel en septembre qui a été mise à la disposition des propriétaires de plus de 280 000 caméras installées qui avaient été laissées vulnérables.

Un livre blanc de la société de cybersécurité CYFIRMA décrit 2 300 organisations dans 100 pays, couvrant environ 80 000 caméras de vidéosurveillance qui n’ont toujours pas corrigé leurs systèmes avec la mise à jour Hikvision, malgré les exploits connus de cette faille trouvés dans la nature.

L’un de ces exploits a été publié en octobre et un autre en février de cette année, montrant qu’il pouvait être utilisé par des pirates de tous niveaux et largement partagé au sein des forums de pirates. En décembre de l’année dernière, un Botnet basé sur Mirai a utilisé cet exploit pour se propager et enrôler les systèmes dans un essaim DDoS.

Dans son livre blanc, CYFIRMA indique que les forums de langue russe vendent des points d’entrée au réseau qui s’appuient sur des caméras Hikvision exploitables pour une utilisation dans le botnetting ou comme mouvement latéral dans d’autres parties d’un réseau.

Cible de cyberguerre

Sur 285 000 serveurs Web Hikvision analysés par CYFIRMA, environ 80 000 étaient encore vulnérables à l’exploitation, la plupart en Chine et aux États-Unis, mais d’autres ont également été trouvés au Royaume-Uni, en Ukraine et en France. Il y avait plus de 2 000 paramètres laissés exposés en raison d’un manque de patch.

Il y a plusieurs pirates qui exploitent cette faille non corrigée, il n’y a donc pas un seul modèle spécifique à l’exploitation, mais CYFIRMA dit qu’il existe des preuves que des pirates d’État sont impliqués. Cela inclut les groupes chinois APT41 et APT10 ainsi que des pirates informatiques russes spécialisés dans le cyberespionnage.

« Plus précisément dans les forums russes, nous avons observé des fuites d’informations d’identification des produits de caméra Hikvision disponibles à la vente », écrit CYFIRMA dans le livre blanc. « Ceux-ci peuvent être exploités par des pirates pour accéder aux appareils et exploiter davantage la voie d’attaque pour cibler l’environnement d’une organisation. »

Contenu de nos partenaires

CYFIRMA avait déjà vu des groupes lancer une campagne de cyberespionnage appelée « think pocket », qui exploitait un produit de connectivité populaire. Cette campagne ciblait des secteurs tels que les télécommunications, l’énergie, la défense, la recherche et les organisations gouvernementales aux États-Unis, au Japon, au Royaume-Uni et en Australie. Les attaques utilisant l’exploit Hikvision reflètent celles de cette campagne précédente.

« Compte tenu de la cyberguerre géopolitique actuelle qui se prépare à travers le monde, nous soupçonnons une augmentation des cyberattaques de divers acteurs de la menace des États-nations sur les infrastructures critiques, les entités étatiques, les organisations de défense et bien d’autres », ont écrit les chercheurs.

« Les vulnérabilités ouvertes et les ports de ces appareils ne feront qu’aggraver l’impact sur les organisations ciblées et les prouesses économiques et étatiques de leur pays. Il est primordial de patcher le logiciel vulnérable des produits de caméra Hikvision à la dernière version.

Mots de passe par défaut laissés en place

La vulnérabilité n’était pas le seul problème auquel étaient confrontés les propriétaires de ces caméras. Les pirates exploitaient également le fait que beaucoup avaient des mots de passe faibles ou, dans certains cas, avaient même laissé les mots de passe par défaut en place et ne les avaient pas réinitialisés comme recommandé lors de la configuration initiale.

Jake Moore, conseiller en sécurité mondiale pour le fournisseur de cybersécurité ESET, a déclaré qu’une combinaison de mots de passe faibles et d’un problème de vulnérabilité pouvant être facilement exploité a créé un double coup dommageable. Il a dit Moniteur technique: Le dernier correctif du micrologiciel est immédiatement requis pour toute personne utilisant ces caméras et il va sans dire que des mots de passe forts sont essentiels.

Les caméras Hikvision peuvent être trouvées par millions sur les bâtiments gouvernementaux et officiels du monde entier, avec environ un million sur les bâtiments au Royaume-Uni seulement. Les sites britanniques comprennent des propriétés gouvernementales et publiques. Il y a eu une poussée contre leur utilisation au Royaume-Uni, en partie en raison de l’implication de Hikvision dans l’aide à l’oppression chinoise dans la province du Xinjiang en Chine, mais aussi en raison des liens étroits de l’entreprise avec le gouvernement chinois.

Récemment, le ministère du Travail et des Pensions (DWP) a retiré Hikvision de ses bâtiments et le ministère de la Santé et des Affaires sociales a annulé son contrat avec l’entreprise pour fournir la vidéosurveillance sur ses sites. En juillet, un groupe de 67 députés et lords a appelé à une interdiction nationale de Hikvision et d’une autre société chinoise, la technologie de surveillance Dahua.

Le gouvernement britannique a réagi à l’inquiétude croissante suscitée par ces entreprises en disant au Bbc qu’il prend très au sérieux la sécurité de nos citoyens, de nos systèmes et de nos établissements et qu’il a mis en place une série de mesures pour contrôler l’intégrité de nos arrangements.

Tech Monitor organise une table ronde en association avec Intel vPro sur la manière d’intégrer la sécurité dans les opérations. Pour plus d’informations, visitez NSMG.live.