Lỗ hổng trong hàng loạt camera an ninh của Hikvision được phát hiện bởi nhà nghiên cứu bảo mật đến từ Anh, biệt danh Watchfull_IP. Người này đã báo cáo cho Hikvision sau khi phát hiện lỗ hổng vào tháng 6. Các chuyên gia bảo mật nhận định lỗ hổng này ảnh hưởng đến 100 triệu thiết bị Hikvision trên toàn cầu, trong đó có Việt Nam.
Đại diện Hikvision cho biết sau khi xác nhận lỗ hổng, hãng đã làm việc trực tiếp với chuyên gia để phát triển bản vá lỗi cho các camera bị ảnh hưởng. Đến ngày 18/9, Hikvision đăng tải thông báo và phát hành bản vá lỗi, khuyến cáo người dùng cập nhật cho thiết bị để đảm bảo an toàn.
Nhiều mẫu camera an ninh của Hikvision dính lỗ hổng bảo mật nghiêm trọng. Ảnh: Mighty Gadget. |
Lỗ hổng CVE-2021-36260 tồn tại trong hàng chục model camera an ninh của Hikvision. Đây là lỗ hổng zero-click, cho phép tin tặc xâm nhập vào hệ thống mà không cần sự tương tác của người dùng.
Ông Công Tiến Lâm, Giám đốc Kỹ thuật Hikvision Việt Nam cho biết lỗ hổng đã được công ty chủ động khắc phục, khẳng định thiết bị Hikvision không có “cửa hậu” (backdoor). Đến nay, hãng chưa ghi nhận bằng chứng công khai hoặc hành vi khai thác lỗ hổng cho mục đích xấu.
Để đảm bảo an toàn cho hệ thống camera giám sát, Hikvision khuyến cáo người dùng kiểm tra danh sách model camera bị ảnh hưởng. Nếu sử dụng thiết bị nằm trong danh sách, cần cài đặt bản cập nhật phần mềm mới nhất trên website của Hikvision, sau đó chặn quyền truy cập từ bên ngoài vào các cổng 80, 443 để đảm bảo an toàn cho hệ thống mạng.
Hikvision đang là một trong những hãng camera an ninh lớn nhất thế giới, thị phần toàn cầu khoảng 38% theo thống kê của IHS Market. Hikvision là thành viên của CVE (Hệ thống Lỗ hổng và Phơi nhiễm phổ biến), thường xuyên làm việc với các công ty bảo mật, nhà nghiên cứu độc lập để tìm, vá lỗi và thông báo lỗ hổng bảo mật nếu có.
Đây không phải lần đầu các mẫu camera an ninh của Hikvision dính lỗ hổng bảo mật. Vào năm 2018, hãng camera Hong Kong đã công bố lỗ hổng HSRC-201808-01, cho phép kẻ xấu gửi mã làm tràn bộ nhớ đệm camera và xâm nhập vào thiết bị.