Hikvision: Als „kritisch“ eingeordnete Schwachstelle seit einem Jahr bekannt – doch ein Patch steht immer noch aus

Hikvision: Als „kritisch“ eingeordnete Schwachstelle seit einem Jahr bekannt – doch ein Patch steht immer noch aus

Hikvision – kurz für Hangzhou Hikvision Digital Technology – ist ein staatlicher chinesischer Hersteller von Videoüberwachungsgeräten. Ihre Kunden verteilen sich auf über 100 Länder. Dazu gehören auch die USA, obwohl die FCC Hikvision im Jahr 2019 als „ein inakzeptables Risiko für die nationale Sicherheit der USA“ eingestuft hat.

Im Herbst letzten Jahres wurden Security-Kreise sowie IoT- Abteilungen auf einen Befehlsinjektionsfehler in Hikvision-Kameras hingewiesen, der als CVE-2021-36260 bekannt gegeben wurde. Der Exploit wurde vom NIST mit 9,8 von 10 Punkten als „kritisch“ bewertet.

Neue Forschungsergebnisse deuten darauf hin, dass zur Zeit weltweit immer noch 80 000 Hikvision Überwachungskameras anfällig für den 11 Monate alten Command-Injection-Fehler sind. Welche Folgen hat das?

Forscher haben in mehreren Fällen entdeckt , dass Hacker zusammenarbeiten wollten, um Hikvision-Kameras mithilfe der Command-Injection-Schwachstelle für ihre Ziele einsetzen zu können. Entsprechende Angebote wurden vor allem in russischen Dark-Web-Foren entdeckt.

Das Ausmaß des bereits angerichteten Schadens ist unklar.

Man kann in diesem Fall nur spekulieren. Ebenso bleibt offen, warum die Schwachstelle weder von Hikvision noch von den Betreibern der Kameras gepatcht wurde.

Nach Ansicht der Forscher hat die gesamte IoT-Branche ein Sicherheitsproblem . Man könne IoT-Geräte und Kameras nicht so einfach sichern wie eine App auf dem Smartphone. Updates müssen von den Nutzern manuell heruntergeladen und installiert werden, denn automatisch erfolgt das nicht. Auch auf Hinweise, dass sie ungesichert sind warten sie vergebens.

Während Benutzer sich dies nicht bewußt machen, haben Hacker ein leichtes Spiel: mit Suchmaschinen wie Shodan oder Censys finden sie die Schwachstellen.