網路上還有8萬臺Hikvision監視器尚未修補一年前的重大漏洞

中國監視攝影設備大廠海康威視（Hikvision）在去年9月修補了藏匿在逾70款監視器中的重大安全漏洞CVE-2021-36260，該漏洞將允許駭客直接接管監視器，甚至危害整個網路，而且已出現多個鎖定該漏洞的攻擊程式，然而，資安業者Cyfirma近日指出，公開網路上尚有超過8萬臺監視器尚未修補該漏洞。

根據海康威視的說明，CVE-2021-36260出現在某些該公司產品的網頁伺服器上，由於輸入驗證不夠充分，使得駭客得以藉由傳送特製的訊息，發動命令注入攻擊。相關攻擊將允許駭客接管監視器或進一步危害使用者網路。

Cyfirma指出，截至今年7月，該公司仍在網路上發現了超過8萬臺未修補該漏洞的監視器，這些監視器散布在全球逾100個國家的2,300個組織中，其中，中國就占了逾1.2萬臺，美國有近1.1萬臺，越南占逾7,000臺，英國近5,000臺，烏克蘭也有超過3,000臺。

老舊漏洞並不代表它免疫於駭客攻擊，還更有可能成為駭客的攻擊目標，Cyfirma的研究人員即發現，駭客們正合作開採CVE-2021-36260漏洞（下圖），並在多個俄羅斯駭客論壇中發現有人兜售海康威視產品的憑證，呼籲使用者應儘速更新相關產品的韌體。

圖片來源／Cyfirma