-
09/04/2020
-
115
-
1.147 bài viết
Lỗ hổng trên camera Hikvision cho phép truy cập bất hợp pháp vào thông tin nhạy cảm
Các chuyên gia an ninh mạng cảnh báo về một làn sóng truy vấn nhắm vào camera Hikvision, cho thấy kẻ xấu đang khai thác lỗ hổng để truy cập cấu hình, nhật ký và ảnh giám sát. Nếu bị tấn công, các camera vốn được coi là an toàn có thể trở thành “cửa hậu” cho phép xâm nhập mạng nội bộ và tần suất truy vấn cao cho thấy đây là mối đe dọa thực tế cần xử lý ngay.
Để hiểu rõ hơn cách kẻ tấn công khai thác lỗ hổng này, các chuyên gia đã phân tích nhật ký từ nhiều honeypot, hé lộ phương thức tấn công và các rủi ro tiềm ẩn. Trong tuần qua, nhiều honeypot ghi nhận các yêu cầu HTTP đến endpoint /System/deviceInfo chứa tham số auth là một chuỗi Base64. Khi giải mã, chuỗi này cho kết quả “admin:11”, cho thấy kẻ tấn công đang tận dụng mật khẩu mặc định hoặc rất yếu bằng phương pháp brute-force để vượt qua xác thực. Nếu thành công, họ có thể truy xuất thông tin cấu hình, địa chỉ mạng và log camera, tạo điều kiện cho di chuyển ngang và thu thập dữ liệu giám sát nhạy cảm.
Phân tích nhật ký honeypot cho thấy endpoint này bị quét với tần suất ngày càng tăng từ đầu tháng 9. Trong khi các lượt truy vấn tương tự đã xuất hiện khoảng 6.700 lần từ tháng 8/2018 đến 23/09/2025, gần đây số lượt truy vấn mới đã vượt ngưỡng cảnh báo với hơn 2.000 lần được ghi nhận. Điều này cho thấy sự quan tâm ngày càng tăng từ phía các kẻ tấn công. Những hacker khai thác mật khẩu cứng hoặc mặc định có thể thu thập cấu hình thiết bị, thông tin mạng và cả log camera, từ đó di chuyển ngang trong mạng bị xâm nhập và lập bản đồ các thiết bị giám sát nhạy cảm.
Cách khai thác này gợi nhớ lỗ hổng leo thang quyền truy cập được ghi nhận dưới CVE-2017-7921, công bố năm 2017. Hikvision từng thông báo rằng một số mẫu camera chứa tài khoản “backdoor” cho phép quyền truy cập cao, nhưng không nêu chi tiết các URL bị ảnh hưởng. Sau đó, các nhà nghiên cứu an ninh đã xác định nhiều endpoint dễ bị khai thác thông qua tham số auth, bao gồm /Security/users và /onvif-http/snapshot, trong đó endpoint thứ hai có thể trả về ảnh trực tiếp nếu khai thác thành công. Nguy cơ càng cao khi nhiều thiết bị vẫn sử dụng mật khẩu mặc định đơn giản như “11”, đặc biệt khi giao diện DVR hạn chế nhập ký tự phức tạp.
Việc nhúng mật khẩu trong URL là rủi ro lớn vì các chuỗi này có thể bị lưu lại dưới dạng plaintext trong log của server, proxy hoặc ứng dụng client. Dù vậy, nhiều công cụ quản lý camera vẫn dùng cách này vì tiện lợi, tạo kẽ hở cho kẻ tấn công. Để giảm thiểu rủi ro, các tổ chức đang sử dụng camera Hikvision nên thực hiện ngay các biện pháp sau:
Để hiểu rõ hơn cách kẻ tấn công khai thác lỗ hổng này, các chuyên gia đã phân tích nhật ký từ nhiều honeypot, hé lộ phương thức tấn công và các rủi ro tiềm ẩn. Trong tuần qua, nhiều honeypot ghi nhận các yêu cầu HTTP đến endpoint /System/deviceInfo chứa tham số auth là một chuỗi Base64. Khi giải mã, chuỗi này cho kết quả “admin:11”, cho thấy kẻ tấn công đang tận dụng mật khẩu mặc định hoặc rất yếu bằng phương pháp brute-force để vượt qua xác thực. Nếu thành công, họ có thể truy xuất thông tin cấu hình, địa chỉ mạng và log camera, tạo điều kiện cho di chuyển ngang và thu thập dữ liệu giám sát nhạy cảm.
Phân tích nhật ký honeypot cho thấy endpoint này bị quét với tần suất ngày càng tăng từ đầu tháng 9. Trong khi các lượt truy vấn tương tự đã xuất hiện khoảng 6.700 lần từ tháng 8/2018 đến 23/09/2025, gần đây số lượt truy vấn mới đã vượt ngưỡng cảnh báo với hơn 2.000 lần được ghi nhận. Điều này cho thấy sự quan tâm ngày càng tăng từ phía các kẻ tấn công. Những hacker khai thác mật khẩu cứng hoặc mặc định có thể thu thập cấu hình thiết bị, thông tin mạng và cả log camera, từ đó di chuyển ngang trong mạng bị xâm nhập và lập bản đồ các thiết bị giám sát nhạy cảm.
Cách khai thác này gợi nhớ lỗ hổng leo thang quyền truy cập được ghi nhận dưới CVE-2017-7921, công bố năm 2017. Hikvision từng thông báo rằng một số mẫu camera chứa tài khoản “backdoor” cho phép quyền truy cập cao, nhưng không nêu chi tiết các URL bị ảnh hưởng. Sau đó, các nhà nghiên cứu an ninh đã xác định nhiều endpoint dễ bị khai thác thông qua tham số auth, bao gồm /Security/users và /onvif-http/snapshot, trong đó endpoint thứ hai có thể trả về ảnh trực tiếp nếu khai thác thành công. Nguy cơ càng cao khi nhiều thiết bị vẫn sử dụng mật khẩu mặc định đơn giản như “11”, đặc biệt khi giao diện DVR hạn chế nhập ký tự phức tạp.
Việc nhúng mật khẩu trong URL là rủi ro lớn vì các chuỗi này có thể bị lưu lại dưới dạng plaintext trong log của server, proxy hoặc ứng dụng client. Dù vậy, nhiều công cụ quản lý camera vẫn dùng cách này vì tiện lợi, tạo kẽ hở cho kẻ tấn công. Để giảm thiểu rủi ro, các tổ chức đang sử dụng camera Hikvision nên thực hiện ngay các biện pháp sau:
- Kiểm tra toàn bộ camera và thiết bị liên quan: Rà soát danh sách thiết bị Hikvision và các camera IP khác đang hoạt động, ưu tiên những thiết bị có giao diện quản trị mở ra Internet hoặc nằm trong mạng quản lý chung.
- Áp đặt mật khẩu mạnh và chính sách quản lý mật khẩu: Bắt buộc mật khẩu đủ dài, kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt; vô hiệu hóa mật khẩu mặc định; thiết lập chính sách đổi mật khẩu định kỳ và khóa tài khoản sau nhiều lần đăng nhập thất bại.
- Vô hiệu hóa hoặc xóa tài khoản không cần thiết: Kiểm tra tồn tại các tài khoản “backdoor”, tài khoản mặc định hoặc tài khoản do nhà sản xuất tạo sẵn; xóa hoặc đổi thông tin đăng nhập và ghi nhận lại trong hồ sơ quản lý thiết bị.
- Cập nhật firmware ngay lập tức: Áp dụng các bản vá do nhà sản xuất phát hành để loại bỏ lỗ hổng và mật khẩu backdoor đã biết; trước khi cập nhật, sao lưu cấu hình và kiểm tra hướng dẫn của nhà cung cấp.
- Phân vùng mạng và áp dụng chính sách truy cập nghiêm ngặt: Tách VLAN riêng cho camera và thiết bị IoT, giới hạn truy cập giữa các vùng mạng bằng firewall; chỉ cho phép các host quản trị được phép truy cập giao diện quản lý.
- Loại bỏ việc truyền thông tin nhạy cảm qua URL: Chuyển sang các phương thức xác thực an toàn như token trên header, HTTPS và cơ chế lưu trữ/ truyền thông tin bảo mật không qua chuỗi truy vấn (query string).
- Giám sát và phân tích nhật ký một cách chủ động: Thiết lập cảnh báo khi phát hiện truy vấn lặp lại chứa tham số auth hoặc các mẫu brute-force, lưu trữ và phân tích log để phát hiện sớm hành vi bất thường.
- Kiểm thử xâm nhập và đánh giá định kỳ: Thực hiện pentest tập trung vào hệ thống camera và hạ tầng quản lý để tìm kẽ hở vận hành, cấu hình sai và điểm yếu bảo mật trước khi kẻ xấu lợi dụng.
- Nâng cao nhận thức cho đội vận hành: Đào tạo nhân viên quản trị camera về rủi ro mật khẩu mặc định, cách cập nhật firmware, quản lý tài khoản và xử lý sự cố khi phát hiện dấu hiệu tấn công.
Tổng hợp