روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ تحقیقات جدید نشان می‌دهد بیش از 80 هزار دوربین مداربسته‌ی برند  Hikvision در دنیا امروزه نسبت به نقص تزریق فرمان[1] آسیب‌پذیر هستند. Hikvision–مخفف Hangzhou Hikvision Digital Technology- یک تولیدکننده چینی است که در زمینه تجهیزات نظارت تصویری فعالیت می‌کند. مشتریان این شرکت در 100 کشور دنیا هستند که آمریکا هم شاملش می‌شود؛ هرچند سال 2019 FCC اعلام کرد ممکن است این برند برای آمریکا نوعی تهدید به حساب بیاید. پاییز گذشته باگ تزریق فرمان در دوربین‌های Hikvision با نام CVE-2021-36260 بر کل دنیا آشکار شد. این اکسپلویت در امتیازدهی NIST از 10 امتیاز 9.8 گرفت که این یعنی آسیب‌پذیری، حیاتی بوده است. با وجود وخامت این آسیب‌پذیری و اینکه تقریباً یک سال از ماجرای آن می‌گذرد هنوز بیش از 80 هزار دستگاه آلوده و پچ نشده هستند. پس از آن، محققین متوجه شدند چند هکر با هم تیم شده‌اند تا با استفاده از آسیب‌پذیری تزریق فرمان دوربین‌های این برند را اکسپلویت کنند. مشخصاً هکرهای مذکور در تالارهای گفت‌وگوی دارک‌وبِ روسی فعالیت دارند؛ جایی که اطلاعات محرمانه فاش‌شده به حراج گذاشته شده است. هنوز میزان خسارت تعیین نشده است. نویسندگان این گزارش تنها فرضشان بر این است که گروه‌های تهدید چینی مانند MISSION2025، APT41،  APT10 و گروه‌های وابسته به آن و نیز گروه‌های عامل تهدید ناشناس روسی می‌توانند بالقوه این آسیب‌پذیری‌ها را اکسپلویت کنند و به اهداف خود (یکه یکی از آن‌ها می‌تواند ملاحظات ژئوپولیتیکی باشد) دست پیدا کنند.

ریسک در دستگاه‌های اینترنت اشیاء  

با داستان‌هایی از این دست خیلی راحت می‌شود نتیجه گرفت افراد و سازمان‌ها در پچ کردن نرم‌افزارهایشان تنبلی می‌کنند. اما ماجرا به همین سادگی‌ها نیست و ابعاد پیچیده‌تری نیز دارد: به نقل از دیوید ماینور، مدیر ارشد هوش تهدید شرکت  Cybrary، دوربین‌های Hikvision به دلایل بسیار و برای مدت زیادی آسیب‌پذیر بوده‌اند. «محصولات این شرکت دارای آسیب‌پذیری‌هایی است که راحت می‌شود اکسپلویتشان کرد و بدتر از آن می‌شود از اطلاعات محرمانه آن‌ها استفاده کرد. هنوز هم تدبیر درستی برای تأیید نفوذ مهاجم از سوی این تولیدکننده اندیشیده نشده است. علاوه بر این هنوز نشانی از افزایش لایه امنیتی در چرخه توسعه‌ی این شرکت ندیده‌ایم». یکی از طرفداران حریم خصوصی به نام پاول بیشوف در مصاحبه‌اش با Comparitech اظهار داشت، «بسیاری از این مشکل‌ها ریشه در خود صنعت دارد و نه فقط شرکت هیک‌ویژن. دستگاه‌های اینترنت اشیاء مانند دوربین‌های مدار بسته همیشه هم مانند یک اپ روی گوشی نمی‌توانند براحتی امنیت داده شوند. آپدیت‌ها اتوماتیک نیستند. کاربران باید دستی آن‌ها را دانلود و نصب کنند و بسیاری از کاربران حتی پیامی در این خصوص دریافت نمی‌کنند. افزون بر این، دستگاه‌های IoT ممکن است هیچ علامتی از ناامنی یا رده خارج شدنشان به کاربر خود نشان ندهند.  گوشی شما ممکن است موقع موجود شدن آپدیت به شما هشدار دهد و حتی آپدیت به صورت خودکار برایتان انجام شود و این درحالیست که دستگاه‌های اینترنت اشیاء در بخش آپدیت چنین تسهیلاتی را ارائه نمی‌دهند».

مجرمان سایبری می‌توانند با موتورهای جست‌وجویی مانند Shodan یا Censys به دنبال دستگاه‌های آسیب‌پذیر بگردند. این مشکل با تنبلی کاربران و خود تولیدکننده نیز دوچندان می‌شود. برای مثال دوربین‌های Hikvision با یک سری پسورد از پیش تعیین‌شده بیرون می‌آیند و خیلی از کاربران آن پسوردهای پیش‌فرض را عوض نمی‌کنند. با توجه به همه دلایلی که ذکر کردیم ( امنیت ضعیف، قابلیت دید ناکافی و تنبلی و غفلت) مشخص نیست چه زمان این چند هزار دوربین قرار است امنیت کافی را دریافت کنند.

[1] command injection،  داستان حمله‌ی مبتنی بر آسیب‌پذیری Command Injection از ارسال دستورهای خط فرمان مانند whoami و cp از سمت شکارچی به سمت سرور قربانی آغاز می‌شود. این کار معمولا از طریق برنامه‌ای کاربردی‌ مانند یک وب‌سایت که سرور بر روی آن در‌حال‌اجرا و آسیب‌پذیر است، انجام می‌شود.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.