80.000'den Fazla Hikvision Güvenlik Kamerası Siber Suçluların Hedefinde: CVE-2021-36260 Açığı Hâlâ Açık Siber Güvenlik

80.000'den Fazla Hikvision Güvenlik Kamerası Siber Suçluların Hedefinde: CVE-2021-36260 Açığı Hâlâ Açık

Hikvision kameralardaki kritik CVE-2021-36260 açığı 11 aydır yamalanmadı. 80.000'den fazla cihaz risk altında, hacker forumlarında satılıyor. IoT güve

Yeni bir araştırma, dünya genelindeki 80.000'den fazla Hikvision güvenlik kamerasının, 11 aylık bir komut enjeksiyonu açığına karşı hâlâ savunmasız olduğunu ortaya koydu. Çin devletine ait Hikvision (Hangzhou Hikvision Digital Technology), video gözetim ekipmanları üreticisi olarak 100'den fazla ülkede faaliyet gösteriyor. ABD, 2019'da FCC tarafından 'ulusal güvenlik için kabul edilemez risk' olarak etiketlenmesine rağmen, Hikvision ürünleri hâlâ kullanımda. Geçtiğimiz sonbaharda açıklanan CVE-2021-36260 kodlu komut enjeksiyonu açığı, NIST tarafından 9.8 gibi kritik bir skorla değerlendirildi. Ancak aradan geçen neredeyse bir yıla rağmen, etkilenen cihazların büyük çoğunluğu yamalanmadı.

Araştırmacılar, Rus dark web forumlarında bilgisayar korsanlarının Hikvision kameralarını istismar etmek için işbirliği aradığını ve çalıntı kimlik bilgilerinin satışa sunulduğunu tespit etti. Bu açıktan yararlanan tehdit grupları arasında MISSION2025/APT41, APT10 ve bilinmeyen Rus aktörlerin olabileceği belirtiliyor. Şimdiye kadar verilen hasarın boyutu net değil, ancak bu tür güvenlik açıklarının jeopolitik çıkarlar için kullanılabileceği endişe verici.

IoT cihazlarının güvenliği, bu tür olaylarla sık sık gündeme geliyor. Cybrary tehdit istihbaratı kıdemli direktörü David Maynor'a göre, Hikvision kameralar uzun süredir çeşitli nedenlerle savunmasız. 'Ürünleri, kolayca istismar edilebilen sistemik güvenlik açıkları veya daha kötüsü varsayılan kimlik bilgileri içeriyor. Adli bilişim yapmanın veya saldırganın çıkarıldığını doğrulamanın iyi bir yolu yok. Hikvision'ın geliştirme döngüsünde güvenliği artırdığına dair herhangi bir işaret de gözlemlemedik.'

Comparitech'ten Paul Bischoff ise sorunun sadece Hikvision'a özgü olmadığını vurguluyor: 'Kameralar gibi IoT cihazları, telefonunuzdaki bir uygulama kadar kolay güvence altına alınamaz. Güncellemeler otomatik değildir; kullanıcıların manuel olarak indirip yüklemesi gerekir ve çoğu kullanıcı bu mesajı hiç alamayabilir. Ayrıca, IoT cihazları genellikle güncelleme gerektiğine dair bir uyarı vermez. Telefonunuz yeni bir güncelleme olduğunda sizi uyarır ve yeniden başlattığınızda otomatik olarak yüklerken, IoT cihazları bu kolaylığı sunmaz.'

Teknik Analiz

Kullanıcılar farkında olmasa da, siber suçlular Shodan veya Censys gibi arama motorlarıyla savunmasız cihazları tarayabiliyor. Hikvision kameraların kutudan çıktığı gibi birkaç önceden belirlenmiş şifreyle gelmesi ve çoğu kullanıcının bu varsayılan şifreleri değiştirmemesi sorunu daha da büyütüyor. Zayıf güvenlik, yetersiz görünürlük ve denetim eksikliği nedeniyle, bu on binlerce kameranın ne zaman güvence altına alınacağı belirsiz.

Bu durum, IoT cihazlarının güvenliğinin ne kadar kritik olduğunu bir kez daha gösteriyor. Kullanıcıların varsayılan şifreleri değiştirmesi, güncellemeleri düzenli olarak kontrol etmesi ve mümkünse cihazlarını ağdan izole etmesi gerekiyor. İşletmeler ise güvenlik açıklarını taramak ve yönetmek için daha proaktif bir yaklaşım benimsemeli. Hikvision'ın ise güvenlik açıklarını hızla yamamak ve müşterilerini bilgilendirmek için daha fazla çaba göstermesi şart. Aksi takdirde, bu tür açıklar siber suçlular için düşük maliyetli bir hedef olmaya devam edecek.

Kaynak: threatpost.com

Paylaş: