Eine Sicherheitslücke in den Überwachungskameras von Hikvision hat der Hersteller im September vergangenen Jahres mit aktualisierter Firmware geschlossen. Nach den Recherchen der Sicherheitsfirma Cyfirma stehen jedoch noch immer mehr als 80.000 verwundbare Kameras im Internet, durch die Angreifer in Netzwerke eindringen könnten.

Kritische Sicherheitslücke

Bei der Sicherheitslücke handelt es sich um eine sogenannte Command-Injection-Schwachstelle im Webinterface der Überwachungskameras. Aufgrund einer nicht ausreichenden Überprüfung von gesendeten Daten könnten Angreifer mit einer manipulierten Anfrage beliebige Befehle auf den Geräten ausführen und sich darin einnisten (CVE-2021-36260, CVSS 9.8, Risiko "kritisch").

Für die Schwachstelle kursieren mindestens zwei Exploits öffentlich. Hikvision hat in einer Sicherheitsmeldung die zahlreichen betroffenen Modelle aufgelistet, die Sicherheitslücke erläutert und bietet das Herunterladen aktualisierter Firmware an, die die Schwachstelle schließt. Offenbar haben viele IT-Verantwortliche, die die Kameras einsetzen, die IoT-Geräte jedoch nicht im Wartungszyklus aufgenommen.

Eine Stichprobe von 285.000 im Netz erreichbaren Geräten hat Cyfirma im Juli dieses Jahres genauer untersucht. Darunter waren 80.000 Kameras, die noch auf einem verwundbaren Firmwarestand verharren. Die stehen bei mehr als 2.300 Einrichtungen in über 100 Ländern. Am häufigsten waren die verwundbaren Modelle in absteigender Reihung in China, den USA, Vietnam, dem Vereinigten Königreich, der Ukraine, Thailand, Südafrika sowie Frankreich und den Niederlanden zu finden.

Cybergangs missbrauchen Lücke

Insbesondere chinesische Cybergangs wie Mission2025/APT41 oder APT10 sowie deren Affiliates und eine unbekannte russische cyber-kriminelle Vereinigung könnten die Schwachstelle missbrauchen, um ihre Ziele – auch geopolitischer Natur – zu erreichen, glaubt Cyfirma laut ihrer Analyse (Anforderungsformular). In russischen Untergrundforen stünden zahlreiche geleakte Zugänge zu den Kameras zum Verkauf.

Um Cyber-Einbrechern keine unnötige Angriffsfläche zum Eindringen und Festsetzen im eigenen Netzwerk zu liefern, sollten Administratoren den Firmwarestand ihrer Hikvision-Kameras dringend überprüfen und gegebenenfalls zügig aktualisieren. Zudem sollten IoT-Geräte idealerweise in ein separates (V)LAN gesperrt oder per Firewall isoliert werden, um keine Gefahr für das restliche Firmennetz darzustellen. Zudem sind IT-Verantwortliche gut beraten, die IoT-Geräte in ihren Netzen in den Wartungszyklus mit aufzunehmen.

