Осенью прошлого года в камерах видеонаблюдения Hikvision была обнаружена опасная уязвимость CVE-2021-36260, которой Национальный институт стандартов и технологий США (NIST) присвоил критический рейтинг — 9,8 из 10. Несмотря на высокий уровень угрозы, более 80 000 затронутых устройств до сих пор остаются уязвимыми. Исследователи зафиксировали многочисленные случаи эксплуатации эксплойта и попытки продажи украденных учётных данных.
Hikvision (Hangzhou Hikvision Digital Technology) — китайский государственный производитель оборудования для видеонаблюдения. География клиентов компании охватывает более ста стран, включая США, несмотря на то что Федеральная комиссия по связи США (FCC) ещё в 2019 году назвала Hikvision «неприемлемым риском для национальной безопасности США».
По словам старшего директора по анализу угроз компании Cybrary Дэвида Мейнора (David Maynor), камеры Hikvision «содержат легко эксплуатируемые системные уязвимости или, что ещё хуже, используют учётные данные по умолчанию». По его словам, не существует надёжного способа провести экспертизу на наличие взлома или подтвердить, что злоумышленнику был закрыт доступ. «Более того, мы не заметили никаких изменений в позиции Hikvision, которые могли бы свидетельствовать об усилении безопасности в рамках цикла разработки», — добавил Мейнор.
Пользуясь неведением и ленью пользователей, киберпреступники находят уязвимые устройства с помощью специальных поисковых систем, таких как Shodan или Censys. Проблема усугубляется тем, что камеры Hikvision по умолчанию поставляются с несколькими вариантами предустановленных паролей, которые пользователи не изменяют при установке.
Масштабы причинённого ущерба пока неясны. Авторы отчёта могут лишь предполагать, что «китайские группы, такие как MISSION2025/APT41, APT10 и её филиалы, потенциально могут использовать уязвимости в этих устройствах для достижения своих целей (включая конкретные геополитические соображения)».
Во многом эта проблема свойственна всей отрасли, а не только Hikvision. «Устройства Интернета вещей, такие как камеры, не всегда так же просто и понятно защитить, как приложения на телефоне, — пояснил специалист по защите конфиденциальности Comparitech Пол Бишофф (Paul Bischoff). — Обновления не устанавливаются автоматически; пользователям необходимо загружать их вручную […] В то время как ваш телефон сообщит о наличии обновления и, вероятно, установит его автоматически при следующей перезагрузке, устройства Интернета вещей таких удобств не предлагают».