Hikvision vừa công bố lỗ hổng CVE-2021-36260 tồn tại trong hàng chục model camera an ninh. Đây là lỗ hổng zero-click, cho phép tin tặc xâm nhập vào hệ thống mà không cần sự tương tác của người dùng.
Lỗ hổng được hệ thống CVSS chấm 9,8/10 điểm (mức nghiêm trọng). Lợi dụng lỗ hổng này, kẻ xấu có thể chạy mã từ xa để chiếm quyền kiểm soát thiết bị, từ đó truy cập và tấn công mạng nội bộ của các cơ quan, tổ chức.
 |
| Nhiều mẫu camera an ninh của Hikvision dính lỗ hổng bảo mật nghiêm trọng. Ảnh: Mighty Gadget. |
Theo Forbes, lỗ hổng được phát hiện bởi nhà nghiên cứu bảo mật đến từ Anh, biệt danh Watchfull_IP. Người này đã báo cáo cho Hikvision sau khi phát hiện lỗ hổng vào tháng 6. Hai bên đã hợp tác để phát triển bản vá lỗi cho các camera bị ảnh hưởng.
Hikvision đang là một trong những hãng camera an ninh lớn nhất thế giới, thị phần toàn cầu khoảng 38% theo thống kê của IHS Market. Các chuyên gia bảo mật nhận định lỗ hổng này ảnh hưởng đến 100 triệu thiết bị Hikvision trên toàn cầu, trong đó có Việt Nam.
Những mẫu camera Hikvision bị ảnh hưởng đa số sản xuất từ năm 2016. Người dùng có thể xem danh sách model gặp nguy hiểm tại đây. Nếu sử dụng thiết bị nằm trong danh sách, cần cài đặt bản cập nhật phần mềm mới nhất trên website của Hikvision, sau đó chặn quyền truy cập từ bên ngoài vào các cổng 80, 443 để đảm bảo an toàn cho hệ thống mạng.
Tuy nhiên, Malwarebytes cho biết một số hãng camera cũng mua thiết bị của Hikvision rồi đổi tên. Do đó, danh sách model bị ảnh hưởng có thể nhiều và khó xác định hơn.
Lỗ hổng bảo mật trong các mẫu camera an ninh của Hikvision cũng được đề cập trong văn bản số 1287/CATTT-NCSC của Trung tâm Giám sát An toàn không gian mạng quốc gia (NCSC) thuộc Cục An toàn thông tin, Bộ Thông tin và Truyền thông.
Theo đánh giá của NCSC, lỗ hổng có thể gây rủi ro đến các cơ sở hạ tầng quan trọng, hacker có thể sớm công bố mã khai thác lỗ hổng trên Internet trong thời gian tới.
 |
Người dùng cần kiểm tra danh sách model camera bị ảnh hưởng, cập nhật phần mềm lên phiên bản mới nhất từ website của Hikvision. Ảnh: Hikvision. |
Để đảm bảo an toàn cho các tổ chức, NCSC khuyến nghị kiểm tra hệ thống kết nối với camera an ninh của Hikvision, cập nhật phần mềm mới nhất trên website của hãng, tách riêng dải mạng dùng cho camera và hạn chế quyền truy cập đến dải mạng khác.
NCSC cũng khuyến nghị các tổ chức tăng cường giám sát, sẵn sàng xử lý nếu phát hiện dấu hiệu bị tấn công mạng, thường xuyên theo dõi kênh cảnh báo của cơ quan chức năng, tổ chức lớn về an toàn thông tin để phát hiện kịp thời nguy cơ tấn công.
Đây không phải lần đầu các mẫu camera an ninh của Hikvision dính lỗ hổng bảo mật. Vào năm 2018, hãng camera Hong Kong đã công bố lỗ hổng HSRC-201808-01, cho phép kẻ xấu gửi mã làm tràn bộ nhớ đệm camera và xâm nhập vào thiết bị.
