An toàn thông tin

Lỗ hổng gây tấn công camera giám sát từ xa

Hạnh Tâm 22/12/2022 20:03

Công ty giám sát video Hikvision của Trung Quốc đã vá một lỗ hổng nghiêm trọng trong một số sản phẩm cầu nối không dây (wireless bridge) của mình. Theo các nhà nghiên cứu, lỗ hổng này có thể dẫn đến việc tấn công camera quan sát từ xa.

Vào ngày 16/12, Hikvision đã tiết lộ rằng hai trong số các sản phẩm cầu nối không dây công ty được thiết kế cho thang máy và các hệ thống giám sát video khác bị ảnh hưởng bởi một lỗ hổng kiểm soát truy cập nghiêm trọng có số hiệu là CVE-2022-28173.

Lỗ hổng bảo mật có thể bị khai thác bằng cách gửi các tin nhắn lừa đảo đặc biệt đến các thiết bị bị ảnh hưởng và kẻ tấn công có thể chiếm được quyền quản trị viên.

a1.jpeg

Các bản vá phần sụn đã được cung cấp cho những sản phẩm DS-3WF0AC-2NT và DS-3WF01C-2N/O. Vấn đề đã được báo cáo cho nhà cung cấp vào hồi tháng 9 thông qua CERT Ấn Độ và một bản vá đã được phát hành vào đầu tháng này.

Hai nhà nghiên cứu Souvik Kandar và Arko Dhar của công ty camera quan sát (CCTV) có trụ sở tại Ấn Độ và công ty an ninh mạng Redinent Innovations đã báo cáo lỗ hổng bảo mật này.

Theo giải thích từ Redinent Innovations, lỗ hổng là do giao diện quản lý dựa trên web của sản phẩm xử lý thông số không đúng cách. Kẻ tấn công có thể khai thác lỗ hổng để chiếm quyền truy nhập của quản trị viên vào giao diện quản lý bằng cách gửi yêu cầu lừa đảo đặc biệt với payload (phần dữ liệu truyền giữa các gói tin) không vượt quá 200 byte. “Sau khi khai thác, phiên quản trị vẫn tồn tại với quyền truy cập đầy đủ vào tất cả các chức năng của giao diện”.

Nhà nghiên cứu Arko Dhar của Redinent cho biết, CVE-2022-28173 có thể bị khai thác từ mạng nội bộ. Nếu thiết bị có lỗ hổng xuất hiện trên web thì một thành viên của tổ chức hoặc một tác nhân đe dọa đã chiếm được quyền truy cập vào mạng của tổ chức cũng có thể khai thác lỗ hổng.

Còn theo Dhar, tìm kiếm của Shodan và Censys cho thấy những thiết bị như vậy có thể truy cập trực tiếp từ Internet và chúng có thể dễ bị tấn công nếu chưa được vá lỗi.

Khi kẻ tấn công đã khai thác thành công lỗ hổng, chúng có thể chặn lưu lượng mạng hoặc tấn công vào hệ thống camera quan sát.

Nhà nghiên cứu giải thích: “Thông thường, các thiết bị này được sử dụng để truyền video CCTV từ camera bên trong thang máy đến trung tâm chỉ huy hoặc bảng điều khiển hoạt động an ninh. Kẻ tấn công có thể vô hiệu hóa hoặc tắt nguồn cấp dữ liệu video như một phần của sự cố vật lý đã được lên kế hoạch ví dụ: Để phối hợp trong các cụ cướp hoặc trộm cắp”.

Trong một thông báo gửi tới các đối tác, Hikvision đã làm rõ rằng các sản phẩm được cung cấp tại thị trường Hoa Kỳ không bị ảnh hưởng bởi lỗ hổng bảo mật này. Tuy nhiên, gần đây Hoa Kỳ vẫn hạn chế sử dụng các hệ thống giám sát video do Trung Quốc sản xuất.

Hikvision thông báo cho các đối tác về CVE-2022-28173 và lưu ý rằng công ty cam kết hợp tác với các nhà nghiên cứu bên thứ ba để vá những lỗ hổng trong sản phẩm của mình.

Ngoài ra, thông báo cũng cho các đối tác biết: “Hikvision tuân thủ nghiêm ngặt luật pháp và quy định ở tất cả các quốc gia và khu vực nơi chúng tôi hoạt động và chúng tôi áp dụng các tiêu chuẩn cao nhất về thực hành an ninh mạng nhằm nỗ lực bảo vệ tốt nhất người dùng các sản phẩm của Hikvision trên toàn thế giới"./.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Thủ tướng: Người đứng đầu phải tiên phong, gương mẫu thúc đẩy chuyển đổi số
    Phát biểu tại Hội nghị Thường trực Chính phủ về CĐS, Thủ tướng Phạm Minh Chính chỉ rõ, điều quan trọng nhất, quyết định nhất, mang tính chiến lược, lâu dài, cơ bản là các bộ trưởng, trưởng ngành, Chủ tịch UBND các tỉnh, thành phố phải tiên phong, gương mẫu thúc đẩy CĐS.
  • Microsoft hắt hơi và lĩnh vực CNTT thế giới cảm lạnh
    Một lỗi trong hệ thống của Crowdstrike, đối tác của Microsoft, đã gây gián đoạn hầu hết các dịch vụ trên hành tinh và là lời cảnh báo lớn về rủi ro hệ thống của dịch vụ đám mây.
  • Còn 11 triệu thuê bao 2G và một số kiến nghị giải pháp
    Tính đến tháng 5/2024, số thuê bao 2G only còn hơn 11 triệu thuê bao, chiếm khoảng 9% tổng số thuê bao di động trên toàn quốc. Các nhà mạng đang kiến nghị các giải pháp giảm số thuê bao 2G khi hệ thống công nghệ này tiến tới dừng hoạt động vào ngày 15/9/2024.
  • VinaPhone hỗ trợ khách hàng nâng cấp điện thoại 4G miễn phí
    Thực hiện chủ trương tắt sóng 2G của Bộ Thông tin và Truyền thông vào tháng 9/2024 tới đây, VinaPhone triển khai loạt ưu đãi khách hàng nâng cấp lên điện thoại 4G miễn phí và nhiều ưu đãi hấp dẫn khác để duy trì liên lạc mà không phải lo lắng về chi phí.
  • 4 kỹ năng cần có để không bị AI thay thế
    Sự phát triển bùng nổ của trí tuệ nhân tạo (AI) trong những năm gần đây đã gây ra không ít tranh luận về việc liệu AI có thể thay thế con người và đe dọa trực tiếp đến công việc của người lao động trong tương lai hay không. Theo đó, chúng ta cần trang bị những gì để thích ứng.
  • Tổng Bí thư Nguyễn Phú Trọng từ trần
    Đồng chí Tổng Bí thư Nguyễn Phú Trọng đã từ trần lúc 13 giờ 38 phút, ngày 19/7/2024 tại Bệnh viện Trung ương Quân đội 108.
  • ‏FPT khai trương văn phòng mới tại Kuala Lumpur, Malaysia‏
    FPT vừa chính thức cắt băng khánh thành văn phòng thứ hai tại Kuala Lumpur, nhằm tăng cường hiện diện của công ty tại khu vực và trên toàn cầu, từ đó mở rộng tiếp cận các khách hàng lớn. ‏
  • Nhân lực ngành quản trị kinh doanh cần cập nhật, ứng dụng công nghệ liên tục
    Quản trị Kinh doanh (QTKD) là một ngành "hot" trong những năm gần đây và dường như vẫn chưa có dấu hiệu hạ nhiệt ngay cả khi hàng loạt ngành học mới liên tục ra đời.
  • VPBank cam kết đầu tư cho các tài năng trẻ lĩnh vực CNTT & Khoa học dữ liệu
    Sau thành công của các sân chơi công nghệ từ VPBank Cloud Technology Day 2023 tới VPBank Technology Hackathon 2024, Ngân hàng đánh giá cao tiềm năng của nhóm nguồn nhân lực trẻ và cam kết tiếp tục đầu tư hơn nữa để tiếp tục mang đến những cơ hội phát triển nghề nghiệp của các tài năng trẻ tại VPBank. Đó cũng là mục tiêu của chương trình VPBank Technology & Data Young Talents mà ngân hàng vừa mới triển khai.
  • VPBank và IFC hợp tác cung ứng vốn cho doanh nghiệp cà phê Việt Nam
    VPBank và Tổ chức Tài chính Quốc tế (IFC) mới đây đã hợp tác đồng tài trợ chuỗi cung ứng cho các công ty xuất khẩu cà phê, trong nỗ lực hỗ trợ cộng đồng doanh nghiệp vừa và nhỏ (SME) của Việt Nam tham gia sâu rộng hơn vào chuỗi cung ứng nông nghiệp toàn cầu.
Lỗ hổng gây tấn công camera giám sát từ xa
POWERED BY ONECMS - A PRODUCT OF NEKO