网络犯罪分子正在出售对中国监控摄像头的访问权限

新研究表明，全球目前有超过8万台 Hikvision 监控摄像头存在一个已有11个月历史的命令注入漏洞。Hikvision 是杭州 Hikvision 数字技术有限公司的简称，是一家中国的国有视频监控设备制造商，其客户遍 及100多个国家（包括美国，尽管美国联邦通信委员会在2019年就将 Hikvision 标记为“对美国国家安全不可接受的风险”）。去年秋天，Hikvision 摄像头中的一个命令注入漏洞以 CVE-2021-36262 的编号公之于众。美国国家标准与技术研究院对该漏洞给出了9.8分（满分10分）的“严重”评级。尽管漏洞严重性极高，且距离发现已有将近一年时间，但仍 有超过8万台受影响设备未进行修补。

自漏洞披露以来，研究人员发现“多 起黑客试图合作利用 Hikvision 摄像头这一命令注入漏洞的事件”，特别是在俄罗斯暗 网论坛上，已有多批泄露的凭证待售。目前尚不清楚已经造成的损害程度有多严重。报告作者只能推测称“中国威胁组织如 MISSION2025/APT41、APT10 及其关联组织，以及身份不明的俄罗斯威胁行为者组织可能会rightrightright利用这些设备中的漏洞来实现他们的动机（其中 可能包括特定的地缘政治考量）”。

此类事件使得人们很容易 将软件未修补归咎于个人和组织的懒惰。但事实并非总是如此简单。据 Cyja 网络安全威胁情报高级总监 David Maynor 称，Hikvision 摄像头在相当长时间内存在多种易 被right exploit 的系统性漏洞，甚至使用默认凭证。目前无法进行有效的取证分析，也难以验证是否发生过攻击。

来源: Threatpost