Yeni bir araştırma, dünya genelinde 80 binden fazla Hikvision güvenlik kamerasının 11 aydır yamalanmayan kritik bir komut enjeksiyonu açığına karşı savunmasız olduğunu ortaya koydu. Çin devletine ait Hikvision, 100'den fazla ülkede kullanılan video gözetim ekipmanları üretiyor. ABD, 2019'da Hikvision'ı 'ulusal güvenlik için kabul edilemez risk' olarak sınıflandırmış olsa da, ülkedeki birçok kurum hala bu kameraları kullanıyor.
Geçen yıl keşfedilen CVE-2021-36260 kodlu komut enjeksiyonu açığı, NIST tarafından 10 üzerinden 9,8 puanla 'kritik' olarak derecelendirildi. Ancak aradan geçen süreye rağmen 80 binden fazla cihazda bu açık hala kapatılmış değil. Araştırmacılar, özellikle Rus karanlık ağ forumlarında hackerların bu açığı kullanarak Hikvision kameralarına sızmak için işbirliği arayışında olduğunu ve sızdırılmış kimlik bilgilerinin satışa sunulduğunu tespit etti.
Uzmanlar, şimdiye kadar ne kadar hasar verildiğinin belirsiz olduğunu ancak MISSION2025/APT41, APT10 gibi Çinli tehdit gruplarının yanı sıra bilinmeyen Rus aktörlerin bu cihazları jeopolitik amaçlar için kullanabileceğini belirtiyor. Cybrary tehdit istihbaratı direktörü David Maynor, Hikvision ürünlerinin sistemik olarak zayıf olduğunu, varsayılan şifrelerin değiştirilmediğini ve adli bilişim yapmanın neredeyse imkansız olduğunu vurguluyor.
Nasıl Önlem Alınmalı?
Comparitech'ten Paul Bischoff, IoT cihazlarının güncellenmesinin akıllı telefonlara göre çok daha zor olduğuna dikkat çekiyor: 'Kullanıcılar güncellemeleri manuel olarak indirip yüklemek zorunda, çoğu zaman haberdar bile olmuyorlar. Ayrıca Hikvision kameralar kutudan belirlenmiş birkaç şifreyle çıkıyor ve çoğu kullanıcı bu varsayılan şifreleri değiştirmiyor.' Shodan gibi arama motorlarıyla savunmasız cihazlar kolayca tespit edilebiliyor. Bu durumda on binlerce kameranın ne zaman güvence altına alınacağı belirsizliğini koruyor.