CVE-2021-36260 là một lỗ hổng thực thi mã từ xa (RCE) chưa được xác thực trong phần mềm camera IP/NVR của Hikvision và được phát hiện bởi nhà nghiên cứu bảo mật trực tuyến có biệt danh “Watchful IP”, đăng trên trang cá nhân của người này.
“Phần lớn các dòng sản phẩm camera gần đây của Hikvision đều dễ bị tấn công bởi lỗ hổng thực thi mã từ xa nghiêm trọng ngay cả với chương trình firmware mới nhất phát hành hôm 21/6/2021. Điều này cho phép kẻ tấn công giành được toàn quyền kiểm soát thiết bị, có nhiều quyền truy cập hơn so với ngay cả chủ sở hữu thiết bị”, nhà nghiên cứu Watchful IP cho biết.
Khi xâm phạm camera IP, kẻ tấn công cũng có thể sử dụng thiết bị bị tấn công để truy cập vào các mạng nội bộ gây rủi ro cho cơ sở hạ tầng sử dụng thiết bị. Watchful IP chỉ ra việc khai thác lỗ hổng không yêu cầu sự tương tác của người dùng khi mà kẻ tấn công chỉ cần truy cập vào cổng máy chủ HTTP (thường là 80/443).
Báo cáo cho biết: “Kẻ tấn công sẽ không cần tên người dùng hoặc mật khẩu cũng như bất kỳ hành động nào cần được thực hiện bởi chủ sở hữu camera. Nó cũng không thể phát hiện được bằng bất kỳ bản ghi nhật ký nào trên camera”.
Chuyên gia bảo mật này chỉ ra, mọi firmware được phát triển từ năm 2016 cho các camera này đều đã được kiểm tra và phát hiện là dễ bị tấn công.
Trong phản ứng của mình liên quan đến báo cáo, Hikvision cho biết lỗ hổng này có thể bị khai thác bằng cách gửi các tin nhắn được tạo ra đặc biệt tới các thiết bị. Công ty tuyên bố kẻ tấn công có thể khai thác lỗ hổng chỉ khi chúng có quyền truy cập vào mạng thiết bị.
Lỗ hổng đã được báo cáo cho Hikvision vào tháng 6 nhưng công ty chỉ phát hành bản cập nhật firmware để khắc phục vào ngày 19/9.