Szerző: Koi Tamás

2021. szeptember 21. 11:58

Több millió Hikvision kamera szabad préda évek óta

Csaknem ötmillió Hikvision IP-kamera támadható az interneten keresztül egy öt éve létező kritikus biztonsági résen keresztül, melyet most foltozott be a kínai gyártó.

Kritikus besorolású biztonsági rést szúrtak ki etikus hackerek a kínai Hikvision egyes IP-kameráinak vezérlőszoftverében. Az idén júliusban felfedezett sérülékenység a kínai gyártó szinte összes, 2016 óta megjelent biztonsági kameráját érinti, a Kiberblog posztja szerint jelenleg is körülbelül ötmillió internetre kötött eszköznél használható ki a biztonsági rés, melyek közül mintegy 23 ezer Magyarországon található. 

A CVE-2021-36260 kódszámú kritikus sebezhetőség révén a teljes kontroll átvehető a kamera felett, melyet így akár botnet-hálózatba tudnak szervezni, vagy sikeresen tudják támadni rajta keresztül a belső hálózatot is.

camera_dome

Webinár: Kubernetes egyszerűen (x)

Regisztrálj a SUSE november 4-i, ingyenes Rancher webinárjára! Innovatív megoldást mutatunk Kubernetes környezetekhez.

Webinár: Kubernetes egyszerűen (x) Regisztrálj a SUSE november 4-i, ingyenes Rancher webinárjára! Innovatív megoldást mutatunk Kubernetes környezetekhez.

A Kiberblog a támadási mechanizmus kapcsán kiemeli, hogy gyakorlatilag egyetlen, megfelelően formázott üzenettel kompromittálható a kamera: egy olyan root shellhez lehet hozzáférni, amely magasabb jogosultsági szintet biztosít, mint a rendeltetésszerűen a tulajdonos által használható, limitált shell hozzáférés.

A biztonsági rést felfedező szakemberek szerint a támadás jellegét, súlyosságát, illetve a gyártó eszközeinek potenciális vásárlókörét figyelembe véve a sebezhetőségen keresztül kritikus infrastruktúrák is veszélyben lehetnek.

A júliusban felfedezett sebezhetőséget szeptember 16-án publikálták a szakemberek, a Hikvision három nappal később közzétett riasztásában pedig már felsorolja az érintett típusok listáját, melyekhez időközben elkészült az a firmware-frissítés, mely befoltozza a biztonsági rést.

Dübörög a HWSW free! meetupsorozat, novemberben modern webfejlesztés és CI/CD témákkal jövünk, de indulnak új online képzéseink is, melyek az AWS, a Kubernetes security, és a microservice architektúra alapjaiba nyújtanak betekintést.

a címlapról

Hirdetés

Ráléptünk a gázra!

2021. október 22. 17:47

Dübörög a HWSW free! meetupsorozat, novemberben modern webfejlesztés és CI/CD témákkal jövünk, de indulnak új online képzéseink is, melyek az AWS, a Kubernetes security, és a microservice architektúra alapjaiba nyújtanak betekintést.