Yeni araştırmalar, bugün dünyadaki 80.000'den fazla Hikvision güvenlik kamerasının 11 aylık bir komut ekleme kusuruna karşı savunmasız olduğunu gösteriyor.
Hikvision - Hangzhou Hikvision Dijital Teknolojisinin kısaltması - Çin devletine ait bir video gözetim ekipmanı üreticisidir. Müşterileri 100'den fazla ülkeye yayılıyor (FCC'nin 2019'da Hikvision'u "ABD ulusal güvenliği için kabul edilemez bir risk" olarak etiketlemesine rağmen Amerika Birleşik Devletleri dahil).
Geçen sonbaharda, Hikvision kameralarındaki bir komut ekleme hatasının CVE-2021-36260 olduğu ortaya çıktı. Bu istismara NIST tarafından 10 üzerinden 9,8 "kritik" notu verildi.
Güvenlik açığının ciddiyetine rağmen ve bu hikayenin üzerinden neredeyse bir yıl geçmesine rağmen, etkilenen 80.000'den fazla cihaza yama yapılmadı. O zamandan beri araştırmacılar, özellikle sızdırılan kimlik bilgilerinin satışa sunulduğu Rus karanlık web forumlarında "komut enjeksiyonu güvenlik açığını kullanarak Hikvision kameralarından yararlanmak için işbirliği yapmak isteyen çok sayıda bilgisayar korsanı örneğini" keşfettiler.
Zaten verilen hasarın boyutu belirsiz. Raporun yazarları yalnızca "MISSION2025/APT41, APT10 ve bağlı kuruluşları gibi Çinli tehdit gruplarının yanı sıra bilinmeyen Rus tehdit aktörü gruplarının, (belirli jeo-politik mülahazaları içerebilen) amaçlarını gerçekleştirmek için bu cihazlardaki güvenlik açıklarından potansiyel olarak yararlanabileceği" yönünde spekülasyon yapabilirdi.
IoT Cihazlarındaki Risk
Bunun gibi hikayelerle, yazılımlarını yamasız bırakan bireylere ve kuruluşlara tembellik atfetmek kolaydır. Ancak hikaye her zaman bu kadar basit değildir.
Cybrary'nin tehdit istihbaratı kıdemli direktörü David Maynor'a göre Hikvision kameraları bir süredir birçok nedenden dolayı savunmasız durumdaydı. "Ürünleri kolayca istismar edilebilecek sistemik güvenlik açıkları içeriyor veya daha kötüsü, varsayılan kimlik bilgilerini kullanıyor. Adli tıp gerçekleştirmenin veya bir saldırganın kesilip çıkarıldığını doğrulamanın iyi bir yolu yok. Ayrıca, Hikvision'un duruşunda, geliştirme döngüleri içerisinde güvenlikte bir artışa işaret edecek herhangi bir değişiklik gözlemlemedik."
Sorunun büyük bir kısmı sadece Hikvision'a değil, sektöre özgü. Comparitech'in gizlilik savunucusu Paul Bischoff, e-posta yoluyla yaptığı açıklamada, "Kameralar gibi IoT cihazlarının güvenliğini sağlamak her zaman telefonunuzdaki bir uygulama kadar kolay veya basit değildir" diye yazdı. "Güncellemeler otomatik değil; kullanıcıların bunları manuel olarak indirip yüklemesi gerekiyor ve çoğu kullanıcı bu mesajı asla alamayabilir. Ayrıca, IoT cihazları kullanıcılara güvenli olmadıklarına veya güncel olmadıklarına dair herhangi bir belirti vermeyebilir. Telefonunuz bir güncelleme mevcut olduğunda sizi uyaracak ve bir sonraki yeniden başlatışınızda muhtemelen otomatik olarak yükleyecektir, ancak IoT cihazları bu tür kolaylıklar sunmuyor."
Kullanıcılar pek akıllı olmasa da siber suçlular, savunmasız cihazlarını Shodan veya Censys gibi arama motorlarıyla tarayabilir. Bischoff'un da belirttiği gibi, sorun kesinlikle tembellikle birleşebilir: "Hikvision kameralarının kutudan çıkan önceden belirlenmiş birkaç şifreden biriyle gelmesi ve birçok kullanıcının bu varsayılan şifreleri değiştirmemesi."
Zayıf güvenlik, yetersiz görünürlük ve gözetim nedeniyle bu onbinlerce kameranın ne zaman güvence altına alınacağı veya güven altına alınıp alınmayacağı belirsiz.