Yeni bir araştırma, dünya genelinde 80.000'den fazla Hikvision güvenlik kamerasının, 11 ay önce keşfedilen bir komut enjeksiyonu açığına karşı hala savunmasız olduğunu ortaya koydu. Hikvision (Hangzhou Hikvision Digital Technology), Çin devletine ait bir video gözetim ekipmanı üreticisi olup, müşterileri 100'den fazla ülkeye yayılıyor. ABD, 2019'da FCC'nin Hikvision'ı 'ABD ulusal güvenliği için kabul edilemez risk' olarak nitelendirmesine rağmen, bu kameralar ABD'de de kullanılıyor.
Geçen yıl sonbaharında, Hikvision kameralardaki komut enjeksiyonu açığı CVE-2021-36260 olarak duyuruldu ve NIST tarafından 10 üzerinden 9,8 gibi 'kritik' bir puan aldı. Açığın ciddiyetine ve neredeyse bir yıl geçmesine rağmen, 80.000'den fazla etkilenen cihaz hala güncellenmemiş durumda. Araştırmacılar, bu süreçte 'bilgisayar korsanlarının Hikvision kameraları istismar etmek için işbirliği aradığına dair birden çok örnek' tespit etti; özellikle Rus dark web forumlarında, sızdırılmış kimlik bilgilerinin satışa sunulduğu görüldü.
Oluşan hasarın boyutu henüz net değil. Raporun yazarları, 'MISSION2025/APT41, APT10 ve bağlı gruplar ile bilinmeyen Rus tehdit aktörlerinin, bu cihazlardaki güvenlik açıklarını kendi hedefleri doğrultusunda istismar edebileceğini' belirtiyor. Bu hedefler arasında jeopolitik hususlar da yer alabilir.
Uzmanların Görüşleri
IoT Cihazlarındaki Risk: Bu tür haberlerle, bireyleri ve kuruluşları yazılımlarını güncellememekle suçlamak kolay. Ancak durum her zaman bu kadar basit değil. Cybrary tehdit istihbaratı kıdemli direktörü David Maynor'a göre, Hikvision kameraları uzun süredir ve birçok nedenden dolayı savunmasız. 'Ürünleri, istismar edilmesi kolay sistemik güvenlik açıkları veya daha kötüsü varsayılan kimlik bilgileri içeriyor. Adli bilişim yapmanın veya saldırganın çıkarıldığını doğrulamanın iyi bir yolu yok. Ayrıca Hikvision'ın geliştirme döngüsünde güvenliği artıracak bir değişiklik yaptığını gözlemlemedik.'
Gelecekte Ne Bekleniyor?
Sorun sadece Hikvision'a özgü değil, sektörün genel bir sorunu. Comparitech'ten Paul Bischoff, 'Kameralar gibi IoT cihazlarını güvence altına almak, telefonunuzdaki bir uygulamayı güvence altına almak kadar kolay veya basit değildir. Güncellemeler otomatik değildir; kullanıcıların manuel olarak indirip yüklemesi gerekir ve birçok kullanıcı bu mesajı hiç alamayabilir. Ayrıca IoT cihazları, kullanıcılara güncelleme gerektiğini bildirmez. Telefonunuz bir güncelleme olduğunda sizi uyarır ve yeniden başlattığınızda otomatik olarak yüklerken, IoT cihazları bu kolaylığı sunmaz.' diyor.
Kullanıcılar farkında olmasa da siber suçlular, Shodan veya Censys gibi arama motorlarıyla savunmasız cihazları tarayabiliyor. Bischoff, sorunun 'Hikvision kameralarının kutudan çıktığında birkaç önceden belirlenmiş şifreden birine sahip olması ve birçok kullanıcının bu varsayılan şifreleri değiştirmemesi' nedeniyle daha da kötüleştiğini belirtiyor. Zayıf güvenlik, yetersiz görünürlük ve denetim arasında, bu on binlerce kameranın ne zaman veya hiç güvence altına alınıp alınmayacağı belirsizliğini koruyor.
Kaynak: threatpost.com