Milhares de câmeras Hikvision permanecem vulneráveis a hackers por quase um ano — o acesso a elas é vendido ativamente na darknet

No último outono, uma vulnerabilidade perigosa, CVE-2021-36260, foi descoberta em câmeras de vigilância Hikvision, às quais o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) atribuiu uma classificação crítica de 9,8 em 10. Apesar do alto nível de ameaça, mais de 80.000 dispositivos afetados ainda estão vulneráveis. Pesquisadores registraram inúmeros casos de exploração e tentativas de venda de credenciais roubadas.

Fonte da imagem: Rob Sarmiento / unsplash.com

A Hikvision (Hangzhou Hikvision Digital Technology) é uma fabricante estatal chinesa de equipamentos de videovigilância. A base de clientes da empresa abrange mais de cem países, incluindo os Estados Unidos, apesar de a Comissão Federal de Comunicações dos EUA (FCC) ter classificado a Hikvision como “um risco inaceitável para a segurança nacional dos EUA” em 2019.

De acordo com David Maynor, diretor sênior de inteligência de ameaças da Cybrary, as câmeras da Hikvision “contêm vulnerabilidades de sistema facilmente exploráveis ou, pior, usam credenciais padrão”. Não há uma maneira confiável de verificar forensemente se ocorreu uma violação ou se o acesso foi negado a um invasor, disse ele. “Além disso, não observamos nenhuma mudança na postura da Hikvision que indique que eles tenham fortalecido sua postura de segurança como parte de seu ciclo de desenvolvimento”, acrescentou Maynor.

Aproveitando-se da ignorância e da preguiça dos usuários, os cibercriminosos encontram dispositivos vulneráveis usando mecanismos de busca especiais, como Shodan ou Censys. O problema é agravado pelo fato de as câmeras Hikvision virem com diversas senhas predefinidas por padrão, que os usuários não alteram durante a instalação.

A extensão dos danos causados ainda não está clara. Os autores do relatório só podem especular que “grupos chineses como MISSION2025/APT41, APT10 e seus afiliados poderiam explorar vulnerabilidades nesses dispositivos para atingir seus objetivos (incluindo considerações geopolíticas específicas)”.

Em muitos aspectos, este é um problema de toda a indústria, não apenas da Hikvision. “Dispositivos de IoT, como câmeras, nem sempre são tão fáceis ou simples de proteger quanto aplicativos no seu celular”, explica Paul Bischoff, pesquisador de privacidade da Comparitech. “As atualizações não são instaladas automaticamente; os usuários precisam baixá-las manualmente […] Embora seu celular notifique você quando uma atualização estiver disponível e provavelmente a instale automaticamente na próxima vez que você reiniciar, os dispositivos de IoT não oferecem a mesma conveniência.”