Camera giám sát Hikvision có lỗ hổng nghiêm trọng cho phép tin tặc tấn công từ xa
05:50 04/08/2025(VietQ.vn) - Một lỗ hổng nghiêm trọng trên hàng loạt thiết bị camera giám sát Hikvision – thương hiệu đến từ Trung Quốc vẫn chưa được khắc phục triệt để, dù đã được cảnh báo từ gần ba năm trước.
Công trình, nhà máy thành "mồi ngon" cho tin tặc: Lỗ hổng an ninh mạng ngày càng nguy hiểm
Khoe thông tin trên VNeID: Coi chừng tự đưa mình vào bẫy lừa đảo
Ứng dụng công nghệ thông tin trong tất cả công đoạn của tổng điều tra nông thôn, nông nghiệp 2025
Lỗ hổng bảo mật mang mã CVE-2021-36260 được phát hiện từ cuối năm 2021 trong firmware của nhiều dòng camera IP và đầu ghi hình kỹ thuật số (NVR) do Hikvision sản xuất. Theo phân tích kỹ thuật, đây là một lỗ hổng command injection không cần xác thực, cho phép tin tặc từ xa thực thi mã độc trực tiếp trên thiết bị chỉ bằng cách gửi một thông điệp do trình duyệt hoặc ứng dụng gửi tới máy chủ web (HTTP) được thiết kế đặc biệt.
Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) đã đánh giá mức độ nghiêm trọng của lỗ hổng này lên đến 9,8/10 theo thang CVSS – mức gần như tuyệt đối trong thang đánh giá mức độ nguy hiểm của lỗ hổng bảo mật.
Mặc dù Hikvision đã phát hành bản vá vào tháng 9/2021, nhưng theo dữ liệu từ Shodan – công cụ tìm kiếm chuyên quét thiết bị IoT hiện vẫn còn hơn 80.000 thiết bị chưa được cập nhật. Trong số này, Việt Nam đứng thứ 5 toàn cầu về số lượng thiết bị bị ảnh hưởng, với gần 7.400 camera kết nối internet tồn tại lỗ hổng, theo báo cáo từ Cục An toàn thông tin, Bộ Thông tin & Truyền thông (trước đây).
Một trong những lý do khiến lỗ hổng này tiếp tục bị khai thác là do nhiều người dùng không thay đổi mật khẩu mặc định. Điều này biến thiết bị giám sát trở thành mục tiêu dễ dàng cho tin tặc. Trên các diễn đàn hacker, hàng loạt thông tin truy cập vào camera Hikvision bị rao bán, đi kèm hình ảnh và video trích xuất từ các thiết bị chưa được bảo vệ.
Phát hiện lỗ hổng trên thiết bị camera giám sát của Hikvision cho phép tin tặc từ xa thực thi mã độc trực tiếp chỉ bằng cách gửi một yêu cầu HTTP được thiết kế đặc biệt.
David Maynor, Giám đốc cấp cao về tình báo mối đe dọa tại công ty Cybrary, cho biết: “Camera Hikvision chứa những điểm yếu cố hữu dễ bị khai thác, và tệ hơn là nhiều thiết bị vẫn sử dụng thông tin đăng nhập mặc định. Điều đó khiến việc phát hiện và ngăn chặn tấn công trở nên rất khó khăn.”
Với trụ sở đặt tại Trung Quốc, Hikvision hiện cung cấp sản phẩm tại hơn 100 quốc gia. Tuy nhiên, từ năm 2019, Ủy ban Truyền thông Liên bang Mỹ (FCC) đã liệt Hikvision vào danh sách các công ty “gây nguy cơ không thể chấp nhận đối với an ninh quốc gia”. Chính quyền cựu Tổng thống Donald Trump cũng từng cáo buộc Hikvision và Huawei nhận được sự hậu thuẫn từ quân đội Trung Quốc, đặt ra lo ngại lớn về quyền riêng tư và gián điệp mạng.
Thực tế, một số nhóm hacker do nhà nước hậu thuẫn như APT41 (Mission2025) và APT10 từng bị Mỹ cáo buộc có liên hệ với chính phủ Trung Quốc đã bị nghi ngờ khai thác lỗ hổng này trong các chiến dịch tấn công mạng quy mô lớn nhắm vào mục tiêu địa chính trị và doanh nghiệp phương Tây.
Không giống như điện thoại hay máy tính, các thiết bị IoT như camera an ninh không có cơ chế cập nhật phần mềm tự động, khiến người dùng phải tự tải bản vá và cài đặt thủ công. Theo Paul Bischoff – chuyên gia nghiên cứu tại Comparitech, điều này dẫn đến thực trạng người dùng thường bỏ quên việc cập nhật, khiến thiết bị tồn tại lỗ hổng trong thời gian dài.
Nhiều chuyên gia an ninh khẳng định, điểm yếu bảo mật trong camera không phải là vấn đề riêng của Hikvision mà là vấn đề chung của toàn ngành IoT, nơi tính năng và giá thành được đặt lên trên yếu tố bảo mật.
Trước tình trạng trên, giới chuyên gia khuyến nghị người dùng và doanh nghiệp cần khẩn trương: Cập nhật firmware mới nhất cho thiết bị, ưu tiên từ trang chính thức của nhà sản xuất hoặc đại lý ủy quyền. Thay đổi ngay mật khẩu mặc định, sử dụng mật khẩu mạnh và không trùng lặp với tài khoản khác. Cách ly camera khỏi mạng nội bộ (LAN), sử dụng VLAN hoặc tường lửa để giới hạn quyền truy cập. Theo dõi các cảnh báo bảo mật từ Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) và các cơ quan chuyên trách.
Lỗ hổng CVE-2021-36260 là lời nhắc nhở rõ ràng rằng, trong kỷ nguyên kết nối số, mọi thiết bị kết nối internet kể cả một chiếc camera nhỏ đều có thể trở thành “cửa ngõ” để tin tặc xâm nhập. Sự thụ động trong việc bảo trì, cập nhật và bảo mật hệ thống có thể dẫn đến hậu quả không lường trước được, đặc biệt trong bối cảnh chiến tranh mạng đang ngày càng leo thang phức tạp.
Quy chuẩn kỹ thuật quốc gia QCVN 135:2024/BTTTT
Quy chuẩn này được ban hành kèm theo Thông tư 21/2024/TT-BTTTT của Bộ Thông tin và Truyền thông (nay là Bộ Khoa học và Công nghệ). Quy chuẩn này đặt ra 11 nhóm yêu cầu kỹ thuật quan trọng, trong đó nổi bật là quy định về việc không sử dụng mật khẩu mặc định. Mỗi thiết bị phải có mật khẩu riêng hoặc yêu cầu người dùng tự đặt ngay khi khởi tạo. Đồng thời, camera phải cho phép thay đổi mật khẩu dễ dàng và hỗ trợ cơ chế xác thực mạnh để phòng chống truy cập trái phép.
Các thiết bị cũng phải hỗ trợ cập nhật phần mềm định kỳ nhằm vá lỗ hổng bảo mật kịp thời, thay vì để tồn tại các điểm yếu kéo dài. Ngoài ra, dữ liệu nhạy cảm như hình ảnh, âm thanh, thông tin cá nhân cần được mã hóa, lưu trữ an toàn và chỉ xử lý khi có sự đồng thuận rõ ràng của người dùng. Nhà sản xuất có trách nhiệm công bố chính sách bảo mật minh bạch và đảm bảo khả năng xóa sạch dữ liệu khi thiết bị bị thanh lý.
QCVN 135:2024 cũng yêu cầu camera phải bảo vệ giao tiếp mạng bằng các giao thức an toàn (như TLS/SSL), vô hiệu hóa các cổng debug, và có khả năng phục hồi sau sự cố mất điện hoặc mạng. Thiết bị cũng cần cho phép lưu trữ dữ liệu tại Việt Nam theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Việc triển khai quy chuẩn này không chỉ tăng cường bảo mật cho người dùng, mà còn hạn chế nguy cơ camera bị lợi dụng làm công cụ giám sát bất hợp pháp.
An Dương (T/h)
