Người dùng camera Hikvision nên cập nhật ngay lập tức

(PLO)- Mới đây, các nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng nghiêm trọng trên 80.000 camera Hikvision, cho phép tin tặc khai thác thông qua việc chèn lệnh.
0:00 / 0:00
0:00
  • Nam miền Bắc
  • Nữ miền Bắc
  • Nữ miền Nam
  • Nam miền Nam

Hiện tại lỗ hổng CVE-2021-36260 đã được Hikvision khắc phục thông qua bản cập nhật firmware vào tháng 9 năm 2021.

Tuy nhiên, theo báo cáo chính thức do công ty an ninh mạng CYFIRMA (Singapore) công bố, hàng chục ngàn hệ thống camera được sử dụng bởi 2.300 tổ chức trên 100 quốc gia vẫn chưa áp dụng bản cập nhật bảo mật.

Thống kê cho thấy lỗ hổng CVE-2021-36260 đã bị khai thác hai lần vào tháng 10-2021 và tháng 2-2022. Do đó, người dùng camera Hikvision nên cập nhật phần mềm ngay lập tức để tránh trở thành nạn nhân của kẻ gian.

camera-hikvision

Vào tháng 1 năm 2022, Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) cảnh báo lỗ hổng CVE-2021-36260 nằm trong danh sách các lỗi được khai thác tích cực trong tự nhiên, cho phép kẻ tấn công chiếm quyền kiểm soát thiết bị và theo dõi người dùng từ xa.

Trong một số mẫu phân tích, CYFIRMA phát hiện vẫn còn khoảng 80.000 thiết bị dễ bị khai thác. Hầu hết trong số này nằm ở Trung Quốc và Mỹ, trong khi Việt Nam, Anh, Ukraine, Thái Lan, Nam Phi, Pháp, Hà Lan và Romania đều có trên 2.000 thiết bị đầu cuối dễ bị tấn công.

Việc khai thác lỗ hổng không theo một mô hình cụ thể nào, vì có nhiều nhóm tin tặc tham gia, đơn cử như APT41 và APT10. Vào tháng 8 năm 2018, tin tặc đã thực hiện chiến dịch "think pocket", nhắm mục tiêu đến một sản phẩm kết nối phổ biến được sử dụng trong một loạt các ngành trên toàn cầu.

CYFIRMA giải thích trong báo cáo: “Tội phạm mạng từ các quốc gia có thể tận dụng các camera Hikvision dễ bị tấn công để phát động chiến tranh mạng có động cơ địa chính trị”.

Ngoài lỗ hổng chèn lệnh, người dùng camera còn thường xuyên mắc phải một lỗi khác là đặt mật khẩu yếu.

Theo Bleeping Computer, thông tin đăng nhập của nhiều mẫu camera hiện đang được cung cấp miễn phí trên một số diễn đàn hack, cho phép kẻ gian có thể theo dõi người khác từ xa.

Nếu đang sử dụng hệ thống camera Hikvision, người dùng nên cài đặt bản cập nhật càng sớm càng tốt, đặt mật khẩu mạnh và cách li mạng IoT khỏi các phần tử quan trọng bằng cách sử dụng tường lửa hoặc VLAN.

Trước đó, công ty an ninh mạng Nozomi Networks cũng phát hiện ra một lỗ hổng trên camera IP Dahua, cho phép tin tặc chiếm quyền điều khiển toàn bộ thiết bị.

Lỗ hổng CVE-2022-30563 (điểm CVSS: 7.4) liên quan đến cơ chế xác thực “WS-UsernameToken” trên một số dòng camera IP do công ty Dahua (Trung Quốc) phát triển, cho phép kẻ tấn công xâm nhập camera bằng cách phát lại thông tin đăng nhập.

Đọc thêm

7,3 triệu tin nhắn cảnh báo mưa lũ được gửi qua Zalo

7,3 triệu tin nhắn cảnh báo mưa lũ được gửi qua Zalo

(PLO)- Để chủ động ứng phó với tình hình mưa lớn, lũ quét, sạt lở đất và mưa đá, Cục Quản lý đê điều và phòng, chống thiên tai - Bộ Nông nghiệp và Môi trường đã phối hợp với Zalo gửi tin nhắn cảnh báo đến khu vực vùng núi và trung du Bắc Bộ.

Hậu trường Esports World Cup lên sóng trong loạt phim mới

Hậu trường Esports World Cup lên sóng trong loạt phim mới

(PLO)- Loạt phim tài liệu gồm 5 tập do đạo diễn đoạt giải Emmy R.J Cutler thực hiện, đưa khán giả đến với những câu chuyện con người đằng sau giải đấu esports lớn nhất thế giới, sẽ được phát hành trên YouTube dành cho khán giả Việt Nam

Cuộc đua AI trong ngành ngân hàng đang nóng lên

Cuộc đua AI trong ngành ngân hàng đang nóng lên

(PLO)- Sau giai đoạn đầu tập trung cho chuyển đổi số, nhiều ngân hàng đang bắt đầu tìm cách đưa AI vào các hoạt động vận hành hằng ngày nhằm tăng hiệu quả xử lý công việc và cải thiện trải nghiệm khách hàng.

Tin công nghệ 9-6: Mong chờ gì tại sự kiện WWDC 2026 của Apple tối nay?

Tin công nghệ 9-6: Mong chờ gì tại sự kiện WWDC 2026 của Apple tối nay?

(PLO)- Tin công nghệ 9-6 sẽ có các nội dung như mong chờ gì tại sự kiện WWDC 2026 của Apple tối nay? Vì sao smartphone Android chưa phổ biến tính năng sạc không dây Qi2, OpenAI đang phát triển ChatGPT thành siêu ứng dụng, cách sử dụng công cụ chỉnh sửa Google Photos để làm ảnh nổi bật.

Viettel muốn tạo ra AI hiểu người Việt hơn ChatGPT?

Viettel muốn tạo ra AI hiểu người Việt hơn ChatGPT?

(PLO)- Viettel AI vừa công bố VT-Super-120B-A12B, mô hình ngôn ngữ lớn tiếng Việt có quy mô 120 tỷ tham số, được phát triển nhằm phục vụ các bài toán đặc thù của cơ quan, tổ chức và doanh nghiệp trong nước.

Những ‘món quà’ bất ngờ từ phần mềm lậu

Những ‘món quà’ bất ngờ từ phần mềm lậu

(PLO)-Các doanh nghiệp chủ quan cho phép cài các phần mềm lậu hay phần mềm bẻ khóa (crack) lên các máy tính trong mạng nội bộ đã vô tình rước hiểm họa an ninh mạng trực tiếp vào hệ thống của tổ chức.