بگزارش سایت IPVM تمام دستگاههای نظارت تصویری شرکت هایک ویژن (Hikvision) که از رمز عبور پیشفرض کارخانه (Default Passwords) استفاده می کردند هک شده و دسترسی به شبکه ها از راه دور (مثل شبکه DDNS، IP های عمومی و ...) امکان پذیر شده است. در باره این حملات گسترده، IPVM مکررا در ماههای گذشته هشدار داده بود.
این حمله سایبری که روز گذشته بوقوع پیوسته توسط کاربرانی که مورد هجوم قرار گرفته اند گزارش شده و بنظر می آید با حملات DdoS میرای فرق داشته باشد. همانطور که در سی سی تی وی آنلاین درمورد حملات بات نتهای میرای در سال 2016 گفتیم،گزارشی از هک شدن محصولات هایک ویژن گزارش نشده بود که حالا در این حملات آنها هم درگیر این مشکل گسترده هستند.
پس از این خبر، هایک ویژن با ارسال ایمیلی به فروشندگان و پخش کنندگان محصولاتش این موضوع را به آنها اطلاع داد.
گزارش هک شدن محصولات هایک ویژن
فروشندگان محصولات نظارت تصویری در بخش آمریکایی، انگلیسی و نیوزلند همگی گزارشهایی از مورد حمله قرار گرفتن رکوردرهای Hikvision داشتند که در ماه گذشته حداقل 100 دستگاه این مشکل را تجربه کردند :
امروز بسیاری از مشتریان DVR و NVR ها که از رمز عبور پیش فرض 12345 برای دستگاهها استفاده می کردند باید رمز عبورشان را تغییر دهند. ما OEM های هایک ویژن هستیم. این DVR ها هم هک شده اند. در هفته اخیر بیش از 150 مشتری دستگاههای DVR ای داشتند که هک شده و رمز عبورشان (Password) تغییر کرده بود.
من در این هفته اولین هک شدن محصولات را تجربه کردم. مشکل اینطوری بود که DVR ها از طریق جستجوگر یا نرم افزار در دسترس نبودند و رمز عبورها کار نمی کردند. باید تنها وارد سایت می شدیم و رمزعبور را ریست می کردیم. فرم ور قدیمی بود و امکان ورود داشتیم. زمانی که وارد منوی دستگاه شدم فهمیدم که اصلا تا بحال اکانتی با نام "System" نساخته بودم و ساخته شده بود!
دو دوربین مدار بسته Interlogix داشتم (همان renam شده های Hikvision) که آن هم دچار چنین مشکلی شده بود و باید از طریق بازسازی رمز عبور از طریق ریست فکتوری فیزیکی دوربین مدار بسته را قابل استفاده می کردم. موضوع نگران کننده این بود که آنها به یک VMS از برند اویجیلون وصل بودند و اصلا به اینترنت هم وصل نشده بودند. چیز عجیب قریبی که اتفاق افتاده و هنوزنمیفهمیم چرا.
4 مشتری داتیم که در هفته های اخیر فهمیدن رکوردرهای هایک ویژن مورد استفاده آنها شبیه یک بات (ربات) عمل می کند. تمام کاربران از فرم ور قدیمی و رمز عبور پیشفرض ادمین 12345 و پورتهای پیش فرض استفاده می کردند. در جریانم که 1 سالی از نصب دوربین مدار بسته و سیستم نظارت تصویری آنها می گذرد و تغییری نداشتند.
در تمام این موارد رمز عبور Admin تغییر کرده بود و کاربر جدیدی بنام SYSTEM ایجاد شده بود. توزیع کننده هایک ویژن با خیل عظیمی از رمزهای تغییر کرده و درخواست ریست رمز عبور روبرو شده بود.
بیشتر تماسهای ما (20 تا 30 تماس) مربوط به OEM های Hikvision (KT&C سری TVL) از رکوردرهای HDTVI بود.
در همه این گزارشها شاهدیم که رکوردرها از رمز عبور پیش فرض 12345 استفاده می کردند و دسترسی ریموت با پورت 8000 بر روی رابط کاربری تحت وب داشتند. نسخه فرم ور آنها هم نا معلوم بوده اما بیشترشان مربوط به تاریخ قبل از اقدامات اجباری هایک ویژن برای تغییر رمز اولیه بوده است.
حملات با تغییر رمز عبور پیشفرض admin و افزودن کاربر جدیدی بنام System به دستگاه انجام شده است. بنابراین هیچ مدرکی وجود ندارد که نشان دهد رکوردرهای Hilvision به نوعی مورد حمله بات نتها قرار گرفته اند.
متوقف کردن یا مدیریت حملات سایبری به هایک ویژن
بات نتها یا ارتش تجهیزات هک شده در روی اینترنت بسیار بسرعت منتشر می شوند که بیشتر بدلیل استفاده از آدرسهای IP عمومی و تکرار این عمل با ضریبی صعودی است. ابزارهایی مثل Shodan plus از سرویسهای آنلاین هایک ویژن که هنوز آسیب پذیریهای متعددش را برطرف نکرده است و براحتی می تواند دستگاهها را در معرض خطر سوء استفاده قرار دهد از دیگر مشکلات رایج در افزایش این شیوع هستند. اگر رکوردر هایک ویژن شما رمز Admin رایج "12345" را دارد یا رمز عبور قابل حدسی داشته باشد و از طریق اینترنتهای عمومی و رایگان آنلاین شده باشد ممکن است همین حالا هم هک شده باشد و شما در جریان نباشید.
اگر در بین کاربران رکوردر هایک ویژن، کاربری با نام system مشاهده کردید که قبلا بدلیل اضافه نشده بوده است، پس دستگاه شما هم آلوده شده است:
اگر دستگاه شما هک شده است لازم است رمز عبور آنرا به حالت پیشفرض برگردانید تا بتوان به دستگاه از طریق وب یا نرم افزار دسترسی داشت. یکی از فروشندگان گزارش داده بود که با استفاده از قابلیت ریست رمز عبور هایک ویژن به دستگاه رکوردر مجددا دسترسی داشته و باقی افراد هم با ریست سخت افزاری رمز عبور مشکل را برطرف کرده بودند.
اگر دستگاه رکوردر شما هک نشده باشد باید مطمئن شوید که رمز عبور admin یک عبارت سخت و غیرمعمول و غیرقابل حدس باشد تا با مشکل هک شدن دوربین مداربسته و سیستمهای نظارت تصویری روبرو نمی شوید. بعلاوه از بروز شدن یا بروز بودن فرم ور دستگاه هایک ویژن مورد استفاده خودتان مطمئن شوید.
جزئیاتی درباره هک هایک ویژن
بیشترین احتمال برای رخ دادن این حملات به نرم افزارهایی مثل رابط کاربری وب معطوف است که با ایجاد کاربری جدید و تغییر رمز عبور admin مربوط می شود. زیرا دستگاههای آسیب دیده هیچ یک از پورتهای رایج telnet یا SSH را فعال نکرده بودند و از فرم ورهای شناخته شده جدید برخوردار بودند.
حملات رخ داده بیشتر سعی در تغییر رمز عبور "12345" داشتند و شبیه کاری که Mirai با لیست آماده یوزر و پسووردها انجام داده بود سعی می کرد هر دستگاهی را آلوده نماید.
همچنین این حملات ظرفیت آلوده کردن دستگاههای بیشتری نسبت به حملات DDoS Mirai خواهد داشت که تنها نیاز به یک دسترسی ریموت از طریق رابط کاربری استاندارد دارد و نیازی هم به پورتهای باز telnet یا SSH ندارند. این در حالی است که Mirai به دستگاههایی حمله می کرد که یا از فایروالی استفاده نمی کردند یا تنظیمات فایروال در آنها بسیار ضعیف بود و این حملات دستگاههایی را مورد حمله قرار داده که توسط یک فایروال حمایت می شوند و تنها از یک ارتباط فعال ریموت بصورت ساده برخوردارند.
هدف یا میزان نامشخص بهره برداری و سوء استفاده
اینکه این حملات سایبری چه چیزی بدست آورده اند هنوز نامشخص است. کارهایی مثل آپلود دستورات یا فایلهایی برای حملات بعدی که با بدست آوردن دستگاههای آلوده بیشتر بتوانند حمله بات نتی قویتری راه بیندازند که هنوز صحتش مشخص نیست. بدلیل همین موارد است که بهترین راهکار می تواند ریست سخت افزاری کامل دستگاهها باشد و سپس بروزرسانی به جدیدترین فرم ور موجود و معتبر و تنظیم یک رمز عبور بسیار قوی پیش از وصل آنلاین دستگاهها مراحل بعدی کار است.
مسئولیت پذیری
هایک ویژن نسبت به ساخت این دستگاهها مسئول خواهد بود و کاربران و فروشنده های درگیر هم مسئولند که دستگاههایی را در دوسال اخیر بروز نکرده اند تا از این قبیل حملات پیشگیری کنند و از رویداد مجددی مثل حملات ارتش میرای بخاطر امنیت کم دستگاهها جلوگیری کنند.
تاثیرات بازار
هایک ویژن می تواند با توجه به این حوادث که بخاطر تولیدات دوسال اخیر رخ داده بیشتر تحت تاثیر کارهای کاربران و فروشندگان قرار گرفته و باید برای ریست و بازگشت دستگاهها به حالت عادی و ایمن سازی شرایط وقت و انرژی صرف کنند.
هایک ویژن متعاقبا در این مورد هفته های اخیر مطلع شده بود. اگر ما اخباری از این موارد داشتیم قطعا هایک ویژن هزاران بار بیشتر چنین گزارشاتی را دریافت کرده است. اما بجای انجام کار درست و اطلاع رسانی سریع به کاربران، این موضوع را مدتی پنهان کردند تا اینکه با تاخیر انجام شده کاربران بسیار بیشتری را در معرض خطر قرار دادند.
4 ساعت پس از خبر رسانی IPVM، هایک ویژن شعبه ایالات متحده مریکا با ارسال ایمیلی به فروشندگانش این موضوع را گوشزد کرد :
محتوای این بیانیه :
همکاران عزیر
هایک ویژن مطلع شده که یک نرم افزار کدنویسی شده بصورت اختصاصی NVR ها و DVR های هایک ویژن را مورد هدف قرار داده که شرایط زیر را دارند : آنها به آخرین نرم افزار فرم ور موجود بروزرسانی نشده اند؛ با پورتهای پیشفرض ست شدند و از نام کاربری و رمز عبور پیش فرض کار می کردند.
محصولات هایک ویژن از سال 2015 امکان نصب و راه اندازی دستگاههای NVR و DVR را با تنظیمات پیشفرض غیرممکن کرده بود. اما برای دستگاههای قدیمی امکان داشت تا NVR ها و DVR ها با تنظیمات پیشفرض ست شوند.
هایک ویژن اکیدا توصیه می کند که فروشندگان با بررسی سطح امنیتی تجهیزات نصب شده تا قبل از سال 2015 اطمینان یابند که از رمر عبور پیشرفته و بروزرسانی فرم ور برای ایمنی بالای کاربران استفاده شده باشد.