Mới đây, Công ty an ninh mạng CYFIRMA (Singapore) đã đưa ra một báo cáo cảnh báo hơn 80.000 camera của Hikvision đang được sử dụng tại nhiều quốc gia vẫn chưa được cập nhập phần mềm vá lỗi lỗi bảo mật lỗ hổng bảo mật CVE-2021-36260 để ngăn ngừa nguy cơ bị tấn công.
Trong đó, thị trường Việt Nam đứng thứ ba về số lượng, với 7.394 thiết bị, chỉ sau Trung Quốc 12.690 thiết bị và Mỹ 10.611 thiết bị. Hikvision đã cung cấp bản vá ngay sau đó, nhưng nhiều thiết bị vẫn chưa cập nhật để khắc phục vấn đề.
Thống kê các thị trường có số camera Hikvision chưa vá lỗ hổng CVE-2021-36260 nhiều nhất. Ảnh: Cyfirma
Cách khai thác lỗ hổng CVE-2021-36260 đã được công khai hai lần nên hacker ở mọi trình độ đều có thể tìm kiếm và khai thác các camera dễ bị tấn công.
Đây là một trong những lỗ hổng nghiêm trọng xuất hiện trên camera IP, với mức độ nguy hiểm 9,8/10, quy mô ảnh hưởng lớn, đã bị khai thác nhiều lần. Lỗ hổng này được Cục An toàn thông tin - Bộ Thông tin và Truyền thông cảnh báo tháng 9 năm ngoái.
Nếu khai thác lỗi hổng này, hacker có thể thực hiện cuộc tấn công thực thi mã từ xa mà không cần xác thực, từ đó chiếm toàn quyền kiểm soát thiết bị. Thậm chí, kẻ tấn công có thể truy cập cổng máy chủ mà cần đăng nhập hoặc mật khẩu, hệ thống cũng không ghi lại lịch sử truy cập này. Ngoài ra, camera cũng có thể bị khai thác để tấn công mạng nội bộ của người dùng mục tiêu nếu được kết nối mạng.
Camera Hikvision được lắp đặt tại nhiều doanh nghiệp, công trình ở Việt Nam. Ảnh: Internet
Bên cạnh nguy cơ từ lỗ hổng bảo mật, các chuyên gia cũng khuyến cáo về tình trạng đặt mật khẩu quá yếu cho camera. Nhiều trường hợp người dùng để nguyên mật khẩu mặc định mà không tiến hành thay đổi.
Hikvision được thành lập vào năm 2001, là một thương hiệu camera an ninh hàng đầu của Trung Quốc và phát triển mạnh mẽ tại thị trường nhiều nước. Tuy nhiên, hãng này cũng nằm trong "danh sách đen" về rủi ro an ninh của Mỹ. Theo tờ Financial Times, vào hồi tháng 5, Bộ Ngân khố Mỹ xem xét đưa Hikvision vào danh sách trừng phạt do vấn đề về nhân quyền và rủi ro xâm phạm thông tin.
Vui lòng nhập nội dung bình luận.