Oggetti come le telecamere per la videosorveglianza devono essere mantenuti sempre aggiornati con l’installazione dei più recenti aggiornamenti di sicurezza.
Sono molto comuni le situazioni in cui gli utenti espongono le telecamere sulla rete Internet rendendone accessibile il pannello di amministrazione da remoto anche da parte di utenti non autorizzati. Non importa che le telecamere siano protette con nome utente e password: eventuali vulnerabilità che permettono di superare il sistema di autenticazione possono essere sfruttate dai criminali informatici per assumere il controllo sui dispositivi altrui e, spesso, per provare a infettare gli altri sistemi collegati in rete locale.
I ricercatori di Cyfirma hanno scoperto che oltre 80.000 telecamere Hikvision esposte su Internet soffrono ancora di una falla di sicurezza critica che può essere sfruttata per eseguire codice arbitrario a distanza.
Tutte le falle di sicurezza sono state risolte dai tecnici di Hikvision con il rilascio di versioni del firmware aggiornate: tanti utenti, però, non solo non le hanno ancora scaricate e installate ma hanno continuato a fare in modo che le loro telecamere risultassero raggiungibili attraverso la rete Internet.
Le falle in questione sono contraddistinte dagli identificativi CVE-2021-36260 (settembre 2021): già a ottobre dello scorso anno e a febbraio 2022 è stato pubblicato il codice exploit che permette di attaccare le telecamere, anche da parte di soggetti senza particolari competenze tecniche.
Cyfirma aggiunge che le telecamere non aggiornate vengono inserite in alcune raccolte vendute sul “mercato nero” insieme con i rispettivi indirizzi IP pubblici e le corrispondenti credenziali di accesso.
L’assenza della patch Hikvision non soltanto rende la telecamera facile preda di aggressioni ma può essere sfruttata per effettuare movimenti laterali e attaccare altri dispositivi connessi in rete locale, con la possibilità ad esempio di sottrarre dati personali e informazioni riservate.
Da dicembre 2021 le telecamere con firmware non aggiornato sono state utilizzate dal malware Moobot (derivato dal noto Mirai) per creare botnet e orchestrare attacchi DDoS (Distributed Denial of Service).