La firma de seguridad cibernética CYFIRMA publicó un informe esta semana que dice que los foros cibercriminales rusos están inundados de piratas informáticos que buscan colaborar para explotar las cámaras Hikvision utilizando la vulnerabilidad de ejecución remota de código (RCE), esta tiene el identificador CVE-2021-36260 con una puntuación CVSS de 9.8 sobre 10 de severidad Crítica.
El investigador que descubrió la vulnerabilidad es Watchful-IP menciona que se necesita acceso al puerto del servidor http(s) (80/443) y no se necesita nombre de usuario ni contraseña.
Adicional esta vulnerabilidad permite que un atacante obtenga el control total de un dispositivo con un shell root sin restricciones, que es mucho más acceso que el que tiene incluso el propietario del dispositivo, ya que están restringidos a un «shell protegido» (psh) limitado que filtra la entrada a un predefinido conjunto de comandos limitados, en su mayoría informativos.
Esto significa, que la vulnerabilidad se puede utilizar para acceder y atacar redes internas, así como para lanzar ataques de denegación de servicio (DoS) en Internet.
Las organizaciones que utilizan los dispositivos sin parches corren el riesgo de comprometer la red y, potencialmente, incluso de un ataque físico ya que podrían presentar violar las redes empresariales conectadas, lanzar ataques de denegación de servicio, agregarlos a una red de bots, robar datos y llevar a cabo otras acciones maliciosas.
La empresa lanzó la actualización en septiembre de 2021. Pero desde entonces se han lanzado públicamente múltiples exploits para el error.
Productos afectados:
El fabricante menciona en su página los siguientes productos afectados:
| Productos | Versión de destino |
| DS-2CD2xx6G2 DS-2CD2xx6G2(C) DS-2CD2xx7G2 DS-2CD2xx7G2(C) DS-2CD2x21G0 DS-2CD2x21G0(C) DS-2CD2x21G1 DS-2CD2x21G1(C) (i)DS-2DExxxx | Versions which Build time before 210625 |
| DS-76xxNI-K1xx(C) | V4.30.210 Build201224 – V4.31.000 Build210511 |
| DS-71xxNI-Q1xx(C) | V4.30.300 Build210221 – V4.31.100 Build210511 |
Recomendaciones:
- Los usuarios deben descargar el firmware actualizado para protegerse contra la vulnerabilidad. Está disponible en el sitio web oficial de Hikvision: Descarga de firmware
- Use un firewall o VLAN para separar la red IoT de los activos críticos para que puedan aislarse.
- Las contraseñas deben cambiarse con frecuencia, por lo que es importante mantenerlas actualizadas.
- No usar contraseñas por defecto.
Referencias:
- https://nvd.nist.gov/vuln/detail/CVE-2021-36260#vulnCurrentDescriptionTitle
- https://www.hikvision.com/es-la/support/cybersecurity/security-advisory/security-notification-command-injection-vulnerability-in-some-hikvision-products/
- https://unaaldia.hispasec.com/2022/08/mas-de-80-000-camaras-hikvision-expuestas-por-una-vulnerabilidad.html
- https://therecord.media/experts-warn-of-widespread-exploitation-involving-hikvision-cameras/
- https://cybersecuritynews.com/80000-exploitable-hikvision-cameras-exposed-online/