Cyberprzestępcy wykorzystują podatność w kamerach Hikvision

CISA to agencja podległa amerykańskiemu Departamentowi Bezpieczeństwa Krajowego (DHS). W ramach jej struktur prowadzony jest katalog KEV (ang. Known Exploited Vulnerabilities), gdzie agregowane są aktywnie wykorzystywane luki w oprogramowaniu.

5 marca br. CISA dodała kilkuletnią podatność w kamerach Hikvision (CVE-2017-7921) do wspomnianej listy. Oznacza to, że agencja zaobserwowała próby wykorzystania jej w prawdziwych systemach, co powinno zaalarmować administratorów odpowiedzialnych za funkcjonowanie urządzeń.

Tego rodzaju podatności są częstymi wektorami ataku wykorzystywanymi przez złośliwych aktorów zagrożeń i stanowią istotne zagrożenie dla instytucji federalnych (USA - przyp. red.).
CISA

Skala zagrożenia

Podatność została określona jako krytyczna na podstawie CVSS Score 3.x (wskaźnika, który w uproszczeniu oznacza „wagę” lub „powagę” luki w oprogramowaniu – przyp. red.) – przyznano jej 9.8 oraz 10 punktów, gdzie ostatnia wartość oznacza koniec skali liczbowej.

Według CISA podatność umożliwia atakującym podniesienie swoich uprawnień oraz „dostęp do wrażliwych informacji”. Luka obejmuje poniższe serie produktów i wersje oprogramowania:

Wcześniejsze doniesienia

Jak wskazano w artykule The Hacker News o wykorzystaniu podatności w kamerach Hikvision, pierwsze doniesienia o próbach masowej eksploitacji pochodzą z końca września ubiegłego roku. Sama podatność pochodzi z 2017 roku.

Na łamach Sekuraka opisano doniesienia dr Johanesa Ullricha, jednego z badaczy SANS, który alarmował o wielu podejrzanych zapytaniach do jego honeypota (specjalnie spreparowanego środowiska, przypominającego produkcyjne, służące m.in. poznaniu metod działania atakujących – przyp. red.).

W artykule polskiego portalu przypomniano, że w przeszłości miały miejsce udane ataki w oparciu o znane podatności, np. włamanie do sieci jednej z rządowej agencji USA na początku 2022 roku w oparciu o tzw. „log4shell” (lukę opisaną w grudniu 2021 roku – przyp. red.).

Pisaliśmy już wiele razy o Hikvision. Jego kamery, podobnie jak kamery konkurentów, takich jak Dahua, są dobrze znane z licznych luk bezpieczeństwa, „na sztywno" zakodowanych haseł serwisowych (pot. „zahardkowanych" – przyp. red.) i innych problemów. Jednym z problemów wielu takich kamer był ograniczony interfejs użytkownika. Rejestrator DVR używany do gromadzenia nagrań z tych kamer często obsługuje jedynie mysz i klawiaturę ekranową, co utrudnia ustawienie sensownych haseł. Ten atak może opierać się na tym, że użytkownicy ustawiają proste hasło, takie jak „11", ponieważ domyślnie w niektórych modelach wyświetlana jest wyłącznie ekranowa klawiatura numeryczna.
Dr Johanes Ullrich (SANS) o prawdopodobnym wykorzystaniu CVE-2017-7921, wrzesień 2025

Jak się zabezpieczyć?

Zgodnie z poradnikiem chińskiego producenta z 12 marca 2017 roku, załatanie podatności jest możliwe poprzez aktualizację firmware’u. Oprogramowanie można uzyskać na stronie producenta.

W lutowym opracowaniu NASK, poświęconemu bezpieczeństwu kamer IP, zalecono m.in.:

• nieudostępnianie kamery z poziomu Internetu;
• wykorzystanie VPN-ów (jeśli zdalny dostęp jest konieczny);
• zmiana domyślnego loginu i hasła;
• aktualizowanie oprogramowania kamery.

Niedawno opisaliśmy na naszych łamach wykorzystanie podglądów z kamer przez prorosyjskich haktywistów, którzy uzyskali dostęp do widoków m.in. z sypialni czy budynków administracji publicznej.

Apelujemy do wszystkich osób i organizacji wykorzystujących kamery Hikvision o zweryfikowanie tego, czy ich urządzenia nie są podatne na cyberataki w oparciu o opisaną lukę w oprogramowaniu.