ช่องโหว่เก่าในกล้อง Hikvision ถูกนำกลับมาใช้โจมตีจริงอีกครั้ง ผู้เชี่ยวชาญเตือนรีบอัปเดตด่วน
หน่วยงานด้านความมั่นคงไซเบอร์ของสหรัฐฯ ออกคำเตือนเกี่ยวกับช่องโหว่ร้ายแรงในอุปกรณ์กล้องวงจรปิดของ Hikvision ซึ่งมีการรายงานออกมาตั้งแต่ปลายปีที่แล้ว แต่ก็ยังพบว่า มีอุปกรณ์บางส่วนที่ยังไม่ได้รับการอัปเดต กำลังถูกนำไปใช้โจมตีจริงในโลกออนไลน์
ช่องโหว่ดังกล่าวถูกระบุด้วยรหัส CVE-2017-7921 และส่งผลกระทบต่ออุปกรณ์เฝ้าระวังหลายประเภทของ Hikvision ทั้งกล้องวงจรปิดและเครื่องบันทึกวิดีโอเครือข่าย (NVR) โดยเปิดโอกาสให้ผู้โจมตีเข้าถึงระบบได้โดยไม่ได้รับอนุญาต และสามารถยกระดับสิทธิ์ในระบบได้ทันที
การที่ช่องโหว่นี้ถูกนำกลับมาใช้โจมตีอีกครั้ง ทำให้ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์แสดงความกังวล เพราะอุปกรณ์กล้องวงจรปิดจำนวนมากยังคงใช้งานซอฟต์แวร์เวอร์ชันเก่าที่ไม่ได้อัปเดต ซึ่งอาจกลายเป็นช่องทางให้แฮกเกอร์เจาะเข้าสู่เครือข่ายขององค์กรได้ง่ายขึ้น
นอกจากนี้เรายังเคยรายงานถึง HikvisionExploiter ชุดเครื่องมือสำหรับโจมตีกล้องวงจรปิด IP Camera ยี่ห้อ Hikvision แบบอัตโนมัติ ที่ถูกเผยแพร่สู่สาธารณะบนแพลตฟอร์ม GitHub ความน่ากังวลคือ เครื่องมือนี้ถูกออกแบบมาให้ใช้งานง่าย จนอาจเปิดช่องให้ผู้ไม่หวังดีที่ไม่มีความเชี่ยวชาญด้านเทคนิค สามารถสแกนและเจาะระบบกล้องที่ยังมีช่องโหว่นับแสนตัวทั่วโลกได้อย่างง่ายดาย เครื่องมือแฮกที่ใช้ประโยชน์จากช่องโหว่นี้
ช่องโหว่ล็อกอินถูกข้าม แฮกเกอร์ยึดสิทธิ์ผู้ดูแลระบบได้ทันที
ต้นตอของปัญหานี้เกิดจากกลไกการยืนยันตัวตนที่ไม่ถูกต้องในระบบ ซึ่งจัดอยู่ในหมวด Improper Authentication (CWE-287) ทำให้ผู้โจมตีสามารถข้ามขั้นตอนล็อกอินได้โดยตรง
เมื่อช่องโหว่นี้ถูกใช้โจมตีสำเร็จ ผู้ไม่หวังดีสามารถเข้าถึงอุปกรณ์ได้ในระดับผู้ดูแลระบบทันทีโดยไม่ต้องใช้ข้อมูลบัญชีจริง จากนั้นจึงสามารถควบคุมระบบเฝ้าระวังได้อย่างเต็มรูปแบบ ไม่ว่าจะเป็นการดูภาพจากกล้องแบบเรียลไทม์ ดาวน์โหลดวิดีโอบันทึกย้อนหลัง หรือปรับเปลี่ยนการตั้งค่าของระบบรักษาความปลอดภัย
นอกจากการเข้าถึงข้อมูลวิดีโอแล้ว อุปกรณ์ที่ถูกเจาะยังอาจเปิดเผยข้อมูลสำคัญอื่น ๆ ภายในระบบ เช่นไฟล์คอนฟิกและข้อมูลเครือข่าย ซึ่งอาจถูกนำไปใช้โจมตีระบบอื่นในองค์กรต่อได้
อุปกรณ์ที่ได้รับผลกระทบ
ช่องโหว่นี้ส่งผลกระทบต่อกล้องวงจรปิด Hikvision หลายตระกูล โดยเฉพาะอุปกรณ์ที่ใช้เฟิร์มแวร์เวอร์ชันเก่าระหว่างปี 2014–2016 ได้แก่
กลุ่ม DS-2CD2xx2F-I Series ตั้งแต่เฟิร์มแวร์ V5.2.0 build 140721 ถึง V5.4.0 build 160530
กลุ่ม DS-2CD2xx0F-I Series ตั้งแต่ V5.2.0 build 140721 ถึง V5.4.0 build 160401
กลุ่ม DS-2CD2xx2FWD Series ตั้งแต่ V5.3.1 build 150410 ถึง V5.4.4 build 161125
กลุ่ม DS-2CD4x2xFWD Series ตั้งแต่ V5.2.0 build 140721 ถึง V5.4.0 build 160414
กลุ่ม DS-2CD4xx5 Series ตั้งแต่ V5.2.0 build 140721 ถึง V5.4.0 build 160421
กลุ่ม DS-2DFx Series ตั้งแต่ V5.2.0 build 140805 ถึง V5.4.5 build 160928
และกลุ่ม DS-2CD63xx Series ตั้งแต่ V5.0.9 build 140305 ถึง V5.3.5 build 160106
อุปกรณ์ที่ยังคงใช้เฟิร์มแวร์ในช่วงเวอร์ชันดังกล่าวมีความเสี่ยงที่จะถูกโจมตีผ่านช่องโหว่นี้ หากไม่ได้รับการอัปเดตแพตช์ความปลอดภัยหรือยังคงใช้งานซอฟต์แวร์รุ่นเก่าอยู่ในระบบ
กล้องวงจรปิดอาจกลายเป็น “ประตูหลัง” ของเครือข่ายองค์กร
ผู้เชี่ยวชาญเตือนว่าอุปกรณ์ IoT อย่างกล้องวงจรปิดมักถูกติดตั้งอยู่บริเวณขอบเครือข่ายขององค์กร และบางครั้งถูกเชื่อมต่อกับระบบภายในโดยตรง ทำให้เมื่ออุปกรณ์เหล่านี้ถูกยึดครอง ก็อาจกลายเป็นจุดเริ่มต้นของการโจมตีเครือข่ายทั้งหมดได้
ด้วยเหตุนี้ หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) จึงกำหนดเส้นตายให้หน่วยงานรัฐบาลสหรัฐฯ ต้องแก้ไขช่องโหว่นี้ภายในวันที่ 26 มีนาคม 2026 ตามข้อกำหนดด้านความปลอดภัยไซเบอร์ของรัฐบาลกลาง
แม้ข้อกำหนดดังกล่าวจะบังคับใช้กับหน่วยงานรัฐเท่านั้น แต่ CISA ก็แนะนำให้องค์กรภาคเอกชนดำเนินการแก้ไขอย่างเร่งด่วนเช่นกัน ไม่ว่าจะเป็นการตรวจสอบอุปกรณ์ Hikvision ที่ใช้งานอยู่ อัปเดตเฟิร์มแวร์ตามคำแนะนำของผู้ผลิต และหากอุปกรณ์รุ่นเก่าไม่สามารถอัปเดตได้ ก็ควรพิจารณายุติการใช้งานเพื่อป้องกันความเสี่ยงต่อระบบทั้งหมด