Các nhà nghiên cứu bảo mật gần đây đã ghi nhận một chiến dịch khai thác mới nhắm vào một lỗ hổng CVE backdoor tồn tại tám năm trong camera Hikvision. Mục tiêu của chiến dịch này là thu thập các tệp cấu hình, danh sách người dùng và ảnh chụp màn hình từ các thiết bị dễ bị tổn thương, gây ra rủi ro nghiêm trọng về an toàn thông tin.

Những kẻ tấn công tự động quét các dải địa chỉ IP, thêm một tham số “auth” được mã hóa Base64 vào các URL quản lý. Khi giải mã, chuỗi này thường hiển thị “admin:11”, cho phép truy cập trái phép vào hệ thống mà không cần xác thực đúng cách.

Phân tích Lỗ hổng CVE-2017-7921 trên Camera Hikvision

Lỗ hổng này được gán mã định danh CVE-2017-7921, xuất phát từ một điểm cuối (endpoint) ẩn trong các camera IP của Hikvision. Điểm cuối này có khả năng chấp nhận thông tin xác thực thông qua một tham số trong URL truy vấn, một phương thức kém an toàn so với giao thức xác thực tiêu chuẩn.

Trung tâm SANS Internet Storm Center (ISC) đã công bố chi tiết về lỗ hổng này trong một bài viết nhật ký ISC SANS Diary, giải thích cơ chế thông tin đăng nhập có thể được truyền tải qua URL thay vì qua giao diện đăng nhập web thông thường.

Thông tin kỹ thuật đầy đủ về lỗ hổng CVE-2017-7921 cũng có sẵn trên trang National Vulnerability Database (NVD) của NIST, cung cấp đánh giá mức độ nghiêm trọng và các chi tiết liên quan.

Cụ thể, thay vì sử dụng biểu mẫu đăng nhập thông thường, những kẻ tấn công có thể gửi các yêu cầu GET HTTP trực tiếp đến thiết bị, kèm theo tham số xác thực đã mã hóa:

GET /System/configurationFile?auth=YWRtaW46MTEK HTTP/1.1
Host: [IP_camera_target]
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36
Accept: */*
Connection: close

Trong ví dụ trên, chuỗi “YWRtaW46MTEK” là phiên bản Base64 được mã hóa của “admin:11”. Mặc dù Hikvision đã phát hành một bản tư vấn bảo mật tối thiểu vào năm 2017, nhiều quản trị viên hệ thống đã không nhận thức được sự tồn tại của các URL bị lộ này.

Các thiết bị cũ hơn, đặc biệt là camera và DVR chỉ có bàn phím số trên màn hình, thường được cấu hình với các mã PIN hoặc mật khẩu mặc định rất đơn giản. Điều này làm cho các cuộc tấn công mạng brute-force trở nên cực kỳ dễ dàng và hiệu quả, đặc biệt khi kết hợp với việc phát hiện các điểm cuối quản lý.

Cơ chế Khai thác và Tác động đến Hệ thống

Các chiến dịch tấn công mạng hiện tại đang tận dụng tính chất tự động của các tập lệnh quét. Chúng rà soát các dải IP rộng lớn để định vị các thiết bị Hikvision vẫn còn dễ bị tổn thương bởi lỗ hổng CVE-2017-7921.

Sau khi xác định được mục tiêu, kẻ tấn công sẽ thực hiện các yêu cầu GET HTTP đã được mô tả để vượt qua cơ chế xác thực. Điều này cho phép chúng có được quyền truy cập trái phép vào các chức năng quản lý thiết bị.

Khi quyền truy cập được thiết lập, các tập lệnh tấn công sẽ tự động thu thập và lưu trữ nhiều loại dữ liệu nhạy cảm. Bao gồm các tệp cấu hình hệ thống, danh sách thông tin xác thực người dùng, ảnh chụp màn hình giám sát và thậm chí cả khóa Wi-Fi.

Việc thu thập khóa Wi-Fi đặc biệt nguy hiểm. Nó không chỉ dẫn đến nguy cơ rò rỉ dữ liệu nhạy cảm từ camera mà còn mở ra cánh cửa cho kẻ tấn công thực hiện xâm nhập mạng nội bộ (lateral network intrusion), mở rộng phạm vi tấn công trong toàn bộ hạ tầng IT của tổ chức.

Dữ liệu bị đánh cắp có giá trị cao trên các thị trường chợ đen, từ việc bán thông tin đăng nhập đến việc sử dụng các khóa mạng Wi-Fi cho các hoạt động độc hại khác. Điều này nhấn mạnh tầm quan trọng của việc khắc phục ngay lập tức lỗ hổng CVE đã biết.

Ghi nhận Hoạt động Khai thác Thực tế

Vào ngày 23 tháng 9 năm 2025, nhật ký từ các honeypot chuyên dụng đã ghi nhận hàng nghìn nỗ lực khai thác liên tiếp. Những nỗ lực này nhắm vào nhiều điểm cuối khác nhau của camera Hikvision, minh chứng cho sự tái bùng phát mạnh mẽ của chiến dịch tấn công này.

Hoạt động này không chỉ cho thấy mức độ tự động hóa cao mà còn chỉ ra rằng nhiều thiết bị vẫn chưa được vá lỗi hoặc cập nhật. Các URL bị nhắm mục tiêu phổ biến trong các cuộc tấn công này bao gồm:

• /System/configurationFile: Để trích xuất toàn bộ cấu hình thiết bị.
• /onvif/snapshot: Để thu thập ảnh chụp màn hình từ camera.
• /System/users: Để lấy danh sách người dùng và thông tin xác thực của họ.

Các tập lệnh tấn công thường được thiết kế để tự động quét, xác định mục tiêu và thu thập thông tin mà không cần sự can thiệp thủ công liên tục, làm tăng tốc độ và quy mô của các cuộc xâm nhập.

Chiến lược Giảm thiểu và Quan trọng của Cập nhật Bản vá

Để bảo vệ hệ thống khỏi việc khai thác lỗ hổng CVE-2017-7921, các tổ chức phải thực hiện các biện pháp giảm thiểu kịp thời và toàn diện. Sự chậm trễ có thể dẫn đến rò rỉ dữ liệu nghiêm trọng và các hệ quả an ninh mạng khác.

Biện pháp phòng ngừa quan trọng nhất là ngay lập tức cập nhật bản vá phần sụn (firmware) của tất cả các thiết bị Hikvision lên phiên bản mới nhất. Các phiên bản firmware hiện đại đã vá lỗ hổng này, loại bỏ điểm yếu mà kẻ tấn công đang khai thác.

Các nhà sản xuất thiết bị thường xuyên phát hành các bản cập nhật bản vá để khắc phục các lỗ hổng bảo mật đã biết. Việc thiết lập một quy trình kiểm tra và triển khai các bản vá này một cách định kỳ là điều tối quan trọng đối với mọi hạ tầng IT.

Ngoài việc cập nhật phần mềm, việc thắt chặt các kiểm soát mạng là yếu tố then chốt để hạn chế khả năng tiếp cận của kẻ tấn công. Các biện pháp này bao gồm:

• Phân đoạn mạng: Cô lập các camera và thiết bị IoT khác vào các phân đoạn mạng riêng biệt, tách biệt chúng khỏi các hệ thống IT và dữ liệu nhạy cảm khác.
• Kiểm soát truy cập: Hạn chế quyền truy cập vào các giao diện quản lý camera chỉ cho các địa chỉ IP nội bộ đáng tin cậy hoặc thông qua các kênh bảo mật như VPN.
• Cấu hình tường lửa: Sử dụng tường lửa để chặn tất cả các yêu cầu không mong muốn từ bên ngoài đến các cổng quản lý và dịch vụ của camera.
• Hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS): Triển khai và cấu hình các hệ thống này để phát hiện và tự động chặn các mẫu lưu lượng truy cập đáng ngờ hoặc các nỗ lực khai thác đã biết.

Bằng cách kết hợp các biện pháp cập nhật bản vá thiết bị kịp thời và thắt chặt kiểm soát mạng, các tổ chức có thể ngăn chặn hiệu quả kẻ tấn công khai thác lỗ hổng CVE-2017-7921 và bảo vệ các cấu hình camera nhạy cảm cùng toàn bộ mạng lưới khỏi các cuộc tấn công mạng.