Một lỗ hổng CVE nghiêm trọng ảnh hưởng đến nhiều sản phẩm của Hikvision đã được bổ sung vào danh mục Known Exploited Vulnerabilities (KEV) của CISA vào ngày 5 tháng 3 năm 2026. Lỗ hổng này, được theo dõi toàn cầu dưới mã CVE-2017-7921, tiềm ẩn rủi ro đáng kể cho các tổ chức sử dụng hệ thống giám sát phổ biến này.

Lỗ hổng cho phép người dùng độc hại bỏ qua các kiểm tra bảo mật tiêu chuẩn, leo thang đặc quyền và giành quyền truy cập trái phép vào thông tin nhạy cảm mà không cần thông tin xác thực hợp lệ.

Tổng quan về Lỗ hổng Hikvision CVE-2017-7921

Vấn đề cốt lõi đằng sau khai thác này là một điểm yếu xác thực không đúng cách, được phân loại chính thức là CWE-287. Trong một hệ thống an toàn, các giao thức xác thực sẽ xác minh danh tính người dùng trước khi cấp quyền truy cập vào các tính năng cụ thể. Tuy nhiên, lỗ hổng này cho phép kẻ tấn công bỏ qua hoàn toàn quy trình đăng nhập.

Bằng cách gửi các yêu cầu được tạo riêng đến thiết bị Hikvision bị nhắm mục tiêu, người dùng trái phép có thể tương tác với hệ thống như thể họ là quản trị viên được xác thực đầy đủ. Điều này mở ra cánh cửa cho nhiều hoạt động độc hại.

Cơ chế khai thác và Tác động ban đầu

Kẻ tấn công có thể sử dụng các yêu cầu HTTP/HTTPS được thiết kế đặc biệt để khai thác CWE-287. Các yêu cầu này được cấu trúc để lừa thiết bị Hikvision bỏ qua bước xác minh thông tin đăng nhập, cho phép truy cập trực tiếp vào các chức năng quản trị.

# Ví dụ giả định về yêu cầu khai thác (chỉ minh họa khái niệm)
# Cảnh báo: Không thử nghiệm trên các hệ thống thực tế nếu không có sự cho phép rõ ràng.

# Khai thác CVE-2017-7921 thường liên quan đến việc thao túng các tiêu đề HTTP
# hoặc tham số URL để bỏ qua kiểm tra xác thực. 
# Ví dụ, có thể là một biến thể của Directory Traversal hoặc Improper Access Control
# kết hợp với xác thực yếu.

# Yêu cầu giả định để bypass authentication:
# GET /System/users/1 HTTP/1.1
# Host: [IP_camera_Hikvision]
# User-Agent: Mozilla/5.0
# Referer: http://[IP_camera_Hikvision]/doc/page/login.asp
# Cookie: SessionID=ADMINISTRATOR_SESSION

# (Lưu ý: Mã khai thác thực tế sẽ phức tạp và chi tiết hơn, phụ thuộc vào phiên bản firmware cụ thể.)

Mặc dù hiện tại vẫn chưa rõ liệu các nhóm mã độc tống tiền có đang tận dụng lỗ hổng CVE này trong các chiến dịch của họ hay không, nhưng các thiết bị Internet of Things (IoT) chưa được vá lỗi thường là mục tiêu hàng đầu cho các môi giới truy cập ban đầu.

Rủi ro Xâm nhập Mạng và Đánh cắp Dữ liệu

Khi kẻ tấn công đã thành công leo thang đặc quyền, tiềm năng gây thiệt hại hoạt động tăng lên đáng kể. Chúng có thể xem các nguồn cấp dữ liệu giám sát trực tiếp, tải xuống các đoạn phim an ninh đã lưu trữ và trích xuất các tệp cấu hình nhạy cảm chứa mật khẩu mạng.

Do các camera an ninh vật lý thường được kết nối trực tiếp với mạng công ty, các thiết bị Hikvision bị xâm nhập có thể đóng vai trò là điểm vào thầm lặng cho các cuộc xâm nhập mạng sâu hơn. Kẻ tấn công có thể sử dụng các camera bị chiếm quyền để theo dõi các chuyển động nội bộ của cơ sở.

Thậm chí, chúng có thể chuyển hướng tấn công sang các máy chủ quan trọng và máy trạm của nhân viên, gây ra rủi ro nghiêm trọng về an toàn thông tin. Việc này tạo ra một nguy cơ tiềm tàng cho toàn bộ cơ sở hạ tầng mạng của tổ chức.

Tác động đến Hệ thống và Dữ liệu

• Giám sát và Thu thập thông tin: Kẻ tấn công có thể truy cập các luồng video trực tiếp, ghi lại và xem lại các đoạn phim đã lưu trữ. Điều này cho phép chúng thu thập thông tin tình báo về bố cục vật lý, lịch trình nhân viên, và các hoạt động nhạy cảm.
• Đánh cắp cấu hình hệ thống: Các tệp cấu hình thường chứa thông tin nhạy cảm như mật khẩu truy cập mạng, cài đặt VPN, hoặc thông tin xác thực cho các dịch vụ khác. Việc truy cập trái phép vào những tệp này có thể dẫn đến việc đánh cắp dữ liệu quan trọng.
• Điểm khởi đầu cho tấn công nội bộ: Một camera bị xâm nhập có thể trở thành một điểm khởi đầu (pivot point) để kẻ tấn công thực hiện các cuộc tấn công leo thang khác trong mạng nội bộ. Điều này bao gồm quét mạng, phát hiện các lỗ hổng khác, hoặc triển khai mã độc.
• Chiếm quyền kiểm soát thiết bị: Với quyền quản trị, kẻ tấn công có thể thay đổi cài đặt thiết bị, vô hiệu hóa chức năng ghi hình, hoặc thậm chí sử dụng thiết bị để phát tán tấn công DDoS.

Biện pháp Khắc phục và Tuân thủ Bản Vá Bảo Mật

Với mức độ nghiêm trọng của truy cập mạng trái phép, các nhà phòng thủ mạng phải hành động nhanh chóng. CISA đã đưa ra thời hạn nghiêm ngặt là ngày 26 tháng 3 năm 2026, để các tổ chức bảo vệ môi trường của họ chống lại mối đe dọa đang hoạt động này. Đây là một cảnh báo lỗ hổng CVE cần được ưu tiên xử lý.

Để đáp ứng các yêu cầu tuân thủ của liên bang, các cơ quan phải xử lý lỗ hổng này theo Chỉ thị Hoạt động Bắt buộc (BOD) 22-01 bằng cách bảo mật cấu hình các dịch vụ đám mây và thiết bị mạng vật lý của họ.

Các công ty khu vực tư nhân được khuyến nghị mạnh mẽ áp dụng cùng một khung thời gian cấp bách này để ngăn chặn các vụ vi phạm dữ liệu vật lý và kỹ thuật số. CISA KEV Catalog cung cấp thông tin chi tiết về các lỗ hổng đã biết đang bị khai thác: CISA KEV Catalog.

Chiến lược Phòng thủ và Cập nhật Firmware

Các quản trị viên nên kiểm tra mạng của họ ngay lập tức để xác định bất kỳ phần cứng Hikvision đang hoạt động nào, bao gồm camera IP và đầu ghi hình mạng (NVR). Việc này giúp đánh giá phạm vi phơi nhiễm trước lỗ hổng CVE này.

Chiến lược phòng thủ chính yêu cầu áp dụng tất cả các biện pháp giảm thiểu và cập nhật firmware chính xác như đã nêu trong hướng dẫn chính thức của nhà cung cấp Hikvision. Việc này bao gồm cả các bản vá bảo mật được phát hành để khắc phục CVE-2017-7921.

# Lệnh CLI giả định để kiểm tra phiên bản firmware trên một thiết bị Hikvision (tùy thuộc vào model và giao diện CLI)

# ssh admin@[IP_CAMERA_HIKVISION]
# show version
# get System.version

# (Nếu không có CLI, cần truy cập qua giao diện web hoặc công cụ quản lý của Hikvision)

Trong các trường hợp thiết bị quá cũ không thể nhận được bản cập nhật hoặc các biện pháp giảm thiểu chính thức không có sẵn, các nhóm bảo mật phải ngừng sử dụng sản phẩm bị ảnh hưởng ngay lập tức để bảo vệ toàn bộ mạng lưới. Đây là một bước quan trọng để ngăn chặn xâm nhập mạng thông qua các thiết bị dễ bị tổn thương.

Việc không tuân thủ các khuyến nghị này có thể dẫn đến việc tiếp tục phơi nhiễm trước các cuộc tấn công khai thác lỗ hổng CVE này, gây ra hậu quả nghiêm trọng cho an toàn thông tin của tổ chức.