EXCELLIS International – Des dizaines de milliers de caméras n’ont pas appliqué de correctif à une Vulnérabilité et Exposition Commune (CVE) critique, vieille de 11 mois, laissant des milliers d’organisations exposées aux cybercriminels.

De nouvelles recherches indiquent que plus de 80 000 caméras de surveillance Hikvision dans le monde sont aujourd’hui vulnérables à une faille d’injection de commande datant de 11 mois.

Hikvision – abréviation de Hangzhou Hikvision Digital Technology – est un fabricant d’équipements de vidéosurveillance appartenant à l’État chinois. Ses clients sont répartis dans plus de 100 pays (y compris les États-Unis, bien que la FCC ait qualifié Hikvision de “risque inacceptable pour la sécurité nationale des États-Unis” en 2019).

L’automne dernier, une faille d’injection de commande dans les caméras Hikvision a été révélée au monde entier sous le nom de CVE-2021-36260. Le NIST a attribué à cet exploit la note “critique” de 9,8 sur 10.

Malgré la gravité de la vulnérabilité, et près d’un an après sa découverte, plus de 80 000 appareils concernés ne sont toujours pas corrigés. Depuis, les chercheurs ont découvert “de multiples cas de pirates cherchant à collaborer à l’exploitation des caméras Hikvision en utilisant la vulnérabilité d’injection de commande”, notamment sur les forums russes du dark web, où des informations d’identification divulguées ont été mises en vente.

L’étendue des dommages déjà causés n’est pas claire. Les auteurs du rapport n’ont pu que spéculer que “des groupes de menace chinois tels que MISSION2025/APT41, APT10 et ses affiliés, ainsi que des groupes d’acteurs de menace russes inconnus pourraient potentiellement exploiter les vulnérabilités de ces appareils pour satisfaire leurs motifs (qui peuvent inclure des considérations géopolitiques spécifiques)”.

Le risque des dispositifs IoT face aux cybercriminels

Avec des histoires comme celle-ci, il est facile d’attribuer la paresse aux individus et aux organisations qui laissent ainsi, leurs logiciels, sans correctifs. Mais l’histoire n’est pas toujours aussi simple.

Selon David Maynor, Directeur Principal des Renseignements sur les Menaces chez Cybrary, les caméras Hikvision sont vulnérables pour de nombreuses raisons, et ce depuis un certain temps.

“Leur produit contient des vulnérabilités systémiques faciles à exploiter ou, pire encore, utilise des informations d’identification par défaut. Il n’existe pas de bon moyen d’effectuer des analyses médico-légales ou de vérifier qu’un attaquant a été éliminé. De plus, nous n’avons observé aucun changement dans la posture de Hikvision pour signaler une augmentation de la sécurité dans leur cycle de développement.”

Une grande partie du problème est endémique à l’industrie, pas seulement à Hikvision. “Les appareils IoT comme les caméras ne sont pas toujours aussi faciles ou directs à sécuriser qu’une application sur votre téléphone”, a écrit Paul Bischoff, défenseur de la vie privée chez Comparitech, dans une déclaration par courriel.

“Les mises à jour ne sont pas automatiques ; les utilisateurs doivent les télécharger et les installer manuellement, et de nombreux utilisateurs pourraient ne jamais recevoir le message. En outre, les appareils IoT peuvent ne pas indiquer aux utilisateurs qu’ils ne sont pas sécurisés ou qu’ils ne sont pas à jour. Alors que votre téléphone vous alertera lorsqu’une mise à jour est disponible et l’installera probablement automatiquement lors de votre prochain redémarrage, les appareils IoT n’offrent pas ces commodités.”

Alors que les utilisateurs ne sont pas plus malins, les cybercriminels peuvent scanner leurs appareils vulnérables avec des moteurs de recherche comme Shodan ou Censys. Le problème peut certainement être aggravé par la paresse, comme le note Bischoff, “par le fait que les caméras Hikvision sont livrées avec l’un des quelques mots de passe prédéterminés dès la sortie de la boîte, et que de nombreux utilisateurs ne changent pas ces mots de passe par défaut.”

Entre une sécurité faible, une visibilité et une surveillance insuffisantes, on ne sait pas quand ou si ces dizaines de milliers de caméras seront un jour sécurisées.

Source : Threatpost

Article traduit en français par EXCELLIS International