Szerző: Koi Tamás

2021. szeptember 21. 11:58

Több millió Hikvision kamera szabad préda évek óta

Csaknem ötmillió Hikvision IP-kamera támadható az interneten keresztül egy öt éve létező kritikus biztonsági résen keresztül, melyet most foltozott be a kínai gyártó.

Kritikus besorolású biztonsági rést szúrtak ki etikus hackerek a kínai Hikvision egyes IP-kameráinak vezérlőszoftverében. Az idén júliusban felfedezett sérülékenység a kínai gyártó szinte összes, 2016 óta megjelent biztonsági kameráját érinti, a Kiberblog posztja szerint jelenleg is körülbelül ötmillió internetre kötött eszköznél használható ki a biztonsági rés, melyek közül mintegy 23 ezer Magyarországon található. 

A CVE-2021-36260 kódszámú kritikus sebezhetőség révén a teljes kontroll átvehető a kamera felett, melyet így akár botnet-hálózatba tudnak szervezni, vagy sikeresen tudják támadni rajta keresztül a belső hálózatot is.

camera_dome

Az AWS céges kultúrájával frissít a Deutsche Telekom IT Solutions (x)

Nagy belső változáson megy keresztül a közel 5000 magyarországi alkalmazottal rendelkező cég.

Az AWS céges kultúrájával frissít a Deutsche Telekom IT Solutions (x) Nagy belső változáson megy keresztül a közel 5000 magyarországi alkalmazottal rendelkező cég.

A Kiberblog a támadási mechanizmus kapcsán kiemeli, hogy gyakorlatilag egyetlen, megfelelően formázott üzenettel kompromittálható a kamera: egy olyan root shellhez lehet hozzáférni, amely magasabb jogosultsági szintet biztosít, mint a rendeltetésszerűen a tulajdonos által használható, limitált shell hozzáférés.

A biztonsági rést felfedező szakemberek szerint a támadás jellegét, súlyosságát, illetve a gyártó eszközeinek potenciális vásárlókörét figyelembe véve a sebezhetőségen keresztül kritikus infrastruktúrák is veszélyben lehetnek.

A júliusban felfedezett sebezhetőséget szeptember 16-án publikálták a szakemberek, a Hikvision három nappal később közzétett riasztásában pedig már felsorolja az érintett típusok listáját, melyekhez időközben elkészült az a firmware-frissítés, mely befoltozza a biztonsági rést.

2021. október 25-én 8 alkalmas, 24 órás online képzést indít a HWSW, mely a világ legnagyobb felhős platformjába nyújt alapos bevezetést, gyakorlatorientált keretek kötött.

a címlapról

feketelista

4

Tovább bombázzák a Honort

2021. október 15. 13:33

Republikánus képviselők szerint a gyártót egyértelműen feketelistára kell tenni.

Hirdetés

Ráléptünk a gázra!

2021. október 16. 10:45

Dübörög a HWSW free! meetupsorozat, októberben modern webfejlesztés és CI/CD témákkal jövünk, de indulnak új online képzéseink is, melyek az AWS, a Kubernetes security, és a microservice architektúra alapjaiba nyújtanak betekintést.