近日 Hikvision 海康威視已經承認一個最高級別的嚴重漏洞,此漏洞由研究人員 Watchful_IP 發現,而受影響範圍估計超過 100 多萬台相關設備。
研究人員表示這個漏洞極其容易被利用,只需訪問 http(s) port(通常為 80/443),且不需要用戶名與密碼,亦不會被設備的任何日誌檢測到。而 CVE-2021-36260 的編號已被保留,不過尚未發佈任何信息。
根據 Watchful_IP 所指,此漏洞可完全控制這些設備中的底層電腦,並具有不受限制的 root shell 訪問權限,比起設備擁有者獲得的權限更多。這意味普該漏洞可同時用於「訪問及攻擊」內部網絡,以及在互聯網上發起 DDoS 攻擊。此漏洞將牽涉大量 Hikvision 設備,官方已列出了 80 多個類別,其中廣泛使用的為 DS-2CVxxx1、DS-2CVxxx5、DS-2CVxxx6 這三個分類別,涵蓋數百個型號。
即使 Watchful_IP 對這個漏洞評估過,並不會是給「中國政府授權的後門」,但網絡安全問題於 Hikvision 設備而言是個長期存在的問題,因此美國政府早於 2019 年將其加入 NDAA 禁止名單,同時正計劃禁止其 FCC 授權。
目前 Hikvision 已就此漏洞釋出新的修復 Firmware。