Lebih Dari 80.000 Kamera Hikvision Rentan Dieksploitasi Secara Online
illustrasi
Cybertrheat.id – Peneliti keamanan dari CYFIRMA mengungkapkan bahwa pihaknya telah menemukan lebih dari 80.000 kamera Hikvision yang memiliki kerentanan injeksi perintah yang bisa dieksploitasi melalui pesan yang dibuat khusus yang dikirim ke server web yang rentan.
Dikutip dari Bleeping Computer, kerentanan tersebut dilacak sebagai CVE-2021-36260 dan telah diatasi oleh Hikvision melalui pembaruan firmware pada September 2021. Dalam laporan keamanannya, peneliti CYFIRMA menyebutkan puluhan ribu sistem yang digunakan oleh 2.300 organisasi di 100 negara masih belum menerapkan pembaruan keamanan.
Pada bulan Desember 2021, botnet berbasis Mirai yang disebut 'Moobot' menggunakan eksploitasi khusus untuk menyebar secara agresif dan mendaftarkan sistem ke kawanan DDoS (distributed denial of service). Kemudian, pada Januari 2022, CISA memperingatkan bahwa CVE-2021-36260 adalah salah satu bug yang dieksploitasi secara aktif dalam daftar yang diterbitkan saat itu, memperingatkan organisasi bahwa penyerang dapat "mengambil alih" perangkat dan segera menambal kelemahannya.
“Ada dua eksploitasi publik yang diketahui untuk CVE-2021-36260, satu diterbitkan pada Oktober 2021 dan yang kedua pada Februari 2022, sehingga pelaku ancaman dari semua tingkat keahlian dapat mencari dan mengeksploitasi kamera yang rentan,” kata peneliti.
Peneliti CYFIRMA mengatakan forum peretasan berbahasa Rusia sering menjual titik masuk jaringan yang mengandalkan kamera Hikvision yang dapat digunakan baik untuk "botnetting" atau gerakan lateral. Dari sampel yang dianalisis dari 285.000 server web Hikvision yang terhubung ke internet, perusahaan keamanan siber menemukan sekitar 80.000 masih rentan terhadap eksploitasi.
Sebagian besar terletak di Cina dan Amerika Serikat, sementara Vietnam, Inggris, Ukraina, Thailand, Afrika Selatan, Prancis, Belanda, dan Rumania semuanya terhitung di atas 2.000 titik akhir yang rentan.
Sementara eksploitasi kelemahan tidak mengikuti pola tertentu saat ini, karena beberapa pelaku ancaman terlibat dalam upaya ini, CYFIRMA menggarisbawahi kasus kelompok peretasan China APT41 dan APT10, serta kelompok ancaman Rusia yang berspesialisasi dalam spionase siber. Contohnya kampanye spionase siber bernama "think pocket", yang menargetkan produk konektivitas populer yang digunakan di berbagai industri di seluruh dunia sejak Agustus 2021.
“Dari analogi Manajemen Lanskap Ancaman Eksternal (ETLM), penjahat dunia maya dari negara-negara yang mungkin tidak memiliki hubungan baik dengan negara lain dapat menggunakan produk kamera Hikvision yang rentan untuk meluncurkan perang dunia maya yang bermotivasi geopolitik,” jelas CYFIRMA.
Terlepas dari kerentanan injeksi perintah, ada juga masalah kata sandi lemah yang disetel pengguna untuk kenyamanan atau yang disertakan dengan perangkat secara default dan tidak disetel ulang selama penyiapan pertama.
Untuk pihak yang mengoperasikan kamera Hikvision, disarankan untuk memprioritaskan untuk menginstal pembaruan firmware terbaru yang tersedia, menggunakan kata sandi yang kuat, dan mengisolasi jaringan IoT dari aset penting menggunakan firewall atau VLAN.
