Исследователи информационной безопасности ISC Sans зафиксировали новую волну атак, нацеленных на старую бэкдор-уязвимость в IP-камерах и видеорегистраторах Hikvision. Злоумышленники автоматизируют сканирование сетей для несанкционированного доступа к конфигурационным файлам, спискам пользователей и снимкам с камер наблюдения. Уязвимость, известная как CVE-2017-7921, была первоначально обнаружена в 2017 году, но, несмотря на критический уровень угрозы, тысячи устройств по-прежнему остаются незащищенными, что создает серьезные риски утечки данных для организаций по всему миру.
Детали
Атака основана на эксплуатации скрытого интерфейса в веб-управлении устройствами Hikvision. Вместо стандартного ввода логина и пароля через веб-интерфейс злоумышленники отправляют специальные HTTP-запросы к управляющим URL-адресам камер. К этим адресам добавляется параметр "auth", содержащий закодированную в формате base64 строку учетных данных. Как показали исследования, после декодирования эта строка чаще всего раскрывается как "admin:11", что позволяет получить полный административный доступ к устройству без аутентификации.
Особую опасность представляет автоматизация атак. Злоумышленники массово сканируют диапазоны IP-адресов в поисках доступных камер Hikvision. Об этом свидетельствуют данные с honeypot-систем (систем-«приманок»), которые 23 сентября 2025 года зарегистрировали тысячи попыток эксплуатации уязвимости. Наиболее часто атакуемыми конечными точками являются "/System/configurationFile", "/Security/users" и "/system/deviceInfo". С момента первого обнаружения уязвимости общее количество зафиксированных попыток эксплуатации только по этим URL-адресам превысило десять тысяч.
Успешная атака позволяет злоумышленникам получать критически важную информацию: конфигурационные файлы устройств, списки пользователей с их учетными данными, ключи от беспроводных сетей Wi-Fi и моментальные снимки с камер. Эта информация может быть использована для дальнейшего проникновения в корпоративную сеть, шантажа или продажи на черном рынке. Риск особенно высок для организаций, использующих камеры со старой прошивкой, где уязвимость не была устранена, и устройства с простыми цифровыми PIN-кодами, которые легко подобрать методом грубой силы.
Проблема усугубляется тем, что первоначальное уведомление Hikvision о уязвимости в 2017 году не привлекло достаточного внимания многих системных администраторов. В результате значительное количество устройств никогда не было обновлено. Кроме того, камеры и регистраторы, управляемые только с помощью цифровых клавиатур, часто по-прежнему используют стандартные или простые PIN-коды, что делает их легкой мишенью.
Для защиты от данной угрозы эксперты предлагают ряд неотложных мер. Наиболее важным шагом является установка последних версий прошивок от Hikvision, в которых устранен бэкдор и усилены требования к паролям. Не менее crucial role (ключевую роль) играет сегментация сети: камеры наблюдения должны быть изолированы в отдельные VLAN (виртуальные локальные сети), а доступ к ним должен быть строго ограничен с помощью правил межсетевого экрана.
Крайне важно заменить стандартные и простые пароли на сложные, состоящие из букв, цифр и специальных символов, а также по возможности отключить возможность входа через URL-параметры. Для своевременного обнаружения атак рекомендуется настроить мониторинг журналов доступа. Любые HTTP-запросы с параметром "auth", которые возвращают статус "200 OK", должны немедленно исследоваться. Также следует ограничить или полностью отключить удаленное администрирование устройств, отдавая предпочтение защищенному протоколу HTTPS с использованием дайджест-аутентификации или аутентификации на основе токенов.
Своевременное применение заплаток и усиление контроля за сетевой инфраструктурой позволяют организациям эффективно блокировать попытки эксплуатации CVE-2017-7921 и защищать конфиденциальные данные, собираемые системами видеонаблюдения. Игнорирование этих мер может привести к серьезным последствиям, включая компрометацию внутренней сети и утечку чувствительной визуальной информации.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2017-7921
- https://nvd.nist.gov/vuln/detail/cve-2017-7921
- https://ics-cert.us-cert.gov/advisories/ICSA-17-124-01
- http://www.securityfocus.com/bid/98313
- https://ghostbin.com/paste/q2vq2
- https://isc.sans.edu/diary/32316
- http://www.hikvision.com/us/about_10805.html
- https://www.hikvision.com/us-en/support/document-center/special-notices/privilege-escalating-vulnerability-in-certain-hikvision-ip-cameras/
- https://www.hikvision.com/cn/support/CybersecurityCenter/SecurityNotices/20170314/
- https://www.hikvision.com/en/support/cybersecurity/security-advisory/security-notification--privilege-escalating-vulnerability-in-cer/
