พบช่องโหว่ RCE บนกล้อง Hikvision หลายรุ่นแนะผู้ใช้ตรวจสอบอัปเดต

มีการแจ้งเตือนช่องโหว่ร้ายแรงที่สามารถใช้เข้าลอบรันคำสั่งจากทางไกลบนกล้องยี่ห้อ Hikvision หลายรุ่นจึงแนะนำให้ผู้ใช้งานตรวจสอบ หาทางอัปเดต Firmware ในเวอร์ชันล่าสุดครับ

ช่องโหว่ RCE นี้มีหมายเลขอ้างอิง CVE-2021-36260 ความร้ายแรงระดับ 9.8/10 เพราะเพียงแค่คนร้ายสามารถเข้าถึงพอร์ท https ก็สามารถเข้าโจมตีได้โดยไม่ต้องมี username และรหัสผ่าน รวมถึงไม่สามารถตรวจสอบการล็อกอินบนกล้องได้ด้วย แถมคนร้ายยังรันคำสั่งได้มากกว่าเจ้าของกล้องเสียอีกเพราะปกติคำสั่งผ่าน Shell จะถูกกรองคำสั่งขั้นสูงเอาไว้ระดับนึง

ปัจจุบันนักวิจัยก็ยังไม่ได้เผยข้อมูลมากกว่านี้เพราะอยากให้มีการแก้ไขให้เรียบร้อยดีก่อน โดยได้ทำงานร่วมกับ Hikvision แล้วซึ่งบริษัทกระตือรือล้นในการแก้ปัญหาอย่างมาก

อย่างไรก็ดีแพตช์แก้ไขยังไม่ค่อยชัดเจนครอบคลุม เพราะหน้าเว็บ Global ยังมีความคืบหน้าในการปล่อย Firmware ตามหลังกว่าหน้าเว็บในประเทศจีน อย่างไรก็ตามสำหรับใครที่ใช้กล้องในรุ่นที่ได้รับผลกระทบ สามารถติดตามเพิ่มเติมได้ที่เว็บไซต์ https://www.hikvision.com/en/support/cybersecurity/security-advisory/security-notification-command-injection-vulnerability-in-some-hikvision-products/ 

ที่มา : https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/09/patch-now-insecure-hikvision-security-cameras-can-be-taken-over-remotely/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Microsoft แจกฟรี เอกสารภาษาไทย “เตรียมความพร้อมสำหรับการทำงานแบบ Hybrid Work ไม่ยากอย่างที่คิด”

Hybrid Work เป็นหัวข้อที่ถูกปฏิบัติใช้จริงภาคบังคับให้อย่างแพร่หลายจากสถานการณ์ของการแพร่ระบบจากโคโรน่าไวรัส แม้ว่าปัจจุบันผู้คนจะกลับมาใช้ชีวิตเข้าออฟฟิศกันเกือบปกติแล้วก็ตาม ที่สิ่งที่ต่างออกไปคือความรู้สึกและพฤติกรรมที่เปลี่ยนแปลงไปแล้ว เพราะมีผู้คนมากมายได้สัมผัสถึงคุณภาพชีวิตในอีกรูปแบบหนึ่งและหลายคนก็ชอบเสียด้วย เมื่อพฤติกรรมการทำงานเปลี่ยนไปตัวองค์กรเองก็ต้องมองหากลยุทธ์เพื่อรับมือกับวิธีการปฏิบัติงานที่เกิดขึ้นด้วย ซึ่งแต่ละคนก็ตีความบริบทการทำ Hybrid Work ต่างกัน อนึ่ง Microsoft เองที่เป็นผู้ให้บริการซอฟต์แวร์ระดับองค์กรมาอย่างยาวนานที่มีประสบการณ์ช่วยเหลือธุรกิจมากมาย จึงได้แจกเอกสารฟรีเพื่อเป็นแนวทางเชิงความคิด …

รวมวิดีโองานสัมมนา NCSA Virtual Summit #1 – 2023 Cybersecurity & Privacy Trends

สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)​ ร่วมกับ TechTalkThai จัดงานสัมมนา “NCSA Virtual Summit #1” ภายใต้ธีม 2023 Cybersecurity & Privacy Trends …