Vietcorp HikvisionExploiter: Cảnh báo mới về công cụ khai thác tự động tấn công camera Hikvision

HikvisionExploiter: Cảnh báo khẩn cấp về bộ công cụ khai thác camera IP Hikvision và Cách phòng chống lỗ hổng​

Một công cụ mang tên HikvisionExploiter đang khiến cộng đồng an ninh mạng lo ngại vì có thể tự động khai thác lỗ hổng CVE-2021-36260 trên camera Hikvision. Bài viết này giúp bạn hiểu rõ cơ chế tấn công, mức độ rủi ro và cách doanh nghiệp có thể bảo vệ hệ thống camera IP của mình.

Khi “mắt thần” giám sát có thể trở thành cửa ngõ cho hacker​

Camera IP ngày nay không chỉ là thiết bị giám sát – chúng là mắt thần của hệ thống an ninh doanh nghiệp, kết nối trực tiếp vào mạng nội bộ, lưu trữ dữ liệu nhạy cảm, thậm chí truyền hình ảnh ra Internet để người quản lý có thể xem từ xa.
Nhưng khi những thiết bị đó bị tấn công, toàn bộ hệ thống an ninh vật lý và dữ liệu nội bộ đều có nguy cơ bị xâm nhập.

Camera giám sát Hikvision là thương hiệu phổ biến toàn cầu, nhưng sự tiện lợi đi kèm với rủi ro bảo mật nếu không được quản lý đúng cách. Gần đây, một công cụ mã nguồn mở mang tên HikvisionExploiter đã trở thành mối đe dọa lớn, cho phép hacker tự động phát hiện – khai thác – truy cập trái phép vào các camera Hikvision có firmware lỗi thời.

HikvisionExploiter là gì?​

HikvisionExploiter là một tool mã nguồn mở, được viết bằng Python, cho phép người dùng tự động hoá việc:

• Quét danh sách IP hoặc tên miền chứa camera Hikvision.
• Kiểm tra xem firmware có tồn tại lỗ hổng CVE-2021-36260 hay không.
• Thực hiện khai thác (exploit) để trích xuất dữ liệu, ảnh chụp, hoặc thực thi lệnh từ xa.
• Lưu kết quả khai thác (bao gồm username, mật khẩu, cấp quyền) vào file log.

Chỉ với một danh sách IP (targets.txt), công cụ có thể chạy đa luồng và quét hàng trăm camera chỉ trong vài phút.

Nói cách khác:

Đây là “bộ công cụ hacker sẵn sàng dùng”, biến một người không chuyên thành kẻ có thể xâm nhập hệ thống camera chỉ bằng vài cú click.

Nhấp để xem thêm...

Lỗ hổng CVE-2021-36260 – gốc rễ của vấn đề​

CVE-2021-36260 là lỗ hổng thực thi lệnh từ xa (RCE) trong máy chủ web của nhiều mẫu camera IP Hikvision.
Lỗ hổng này không yêu cầu xác thực, nghĩa là hacker không cần biết mật khẩu vẫn có thể gửi các lệnh tùy ý đến thiết bị.

Hacker có thể:

• Truy cập trực tiếp vào endpoint /onvif-http/snapshot để chụp ảnh từ camera.
• Tải về file cấu hình XML chứa thông tin tài khoản, sau đó giải mã AES/XOR để lấy username và mật khẩu.
• Chạy lệnh trên hệ thống camera – từ đó chiếm quyền điều khiển hoàn toàn thiết bị.

Đây là lỗ hổng đã được Hikvision công bố và vá từ năm 2021, tuy nhiên thực tế cho thấy rất nhiều thiết bị vẫn chưa cập nhật firmware.
Chính điều này khiến CVE-2021-36260 tiếp tục nằm trong danh sách Known Exploited Vulnerabilities của CISA (Cơ quan An ninh mạng & Cơ sở hạ tầng Hoa Kỳ).

Cách HikvisionExploiter hoạt động​

Công cụ này mô phỏng chính xác quy trình mà hacker sẽ thực hiện:

1. Nhập danh sách IP mục tiêu
   → Quét từng IP qua cổng HTTP để xác định thiết bị Hikvision.
2. Kiểm tra endpoint dễ bị khai thác
   → Gửi yêu cầu đến /onvif-http/snapshot để thử lấy ảnh mà không cần đăng nhập.
3. Trích xuất cấu hình thiết bị
   → Tải file System/configurationFile hoặc tương tự để lấy thông tin mã hóa.
4. Giải mã thông tin người dùng
   → Dùng kỹ thuật AES hoặc XOR (được tool tích hợp sẵn) để lấy tài khoản quản trị.
5. Khai thác sâu hơn (Command Injection)
   → Thực thi lệnh từ xa, tải về malware, hoặc tạo backdoor để duy trì truy cập.

Kết quả? Hacker có thể:

• Xem hình ảnh trực tiếp từ camera.
• Ghi lại dữ liệu nội bộ.
• Dùng thiết bị làm bàn đạp để xâm nhập mạng doanh nghiệp.

Mức độ ảnh hưởng trên toàn cầu​

Theo Cyber Security News, hàng nghìn camera Hikvision trên toàn cầu vẫn đang kết nối trực tiếp Internet mà không có bản vá bảo mật.
Các model phổ biến bị ảnh hưởng bao gồm:

• DS-2CD Series
• DS-2DF Series
• DS-2CV Series
• Các firmware trước V5.5.0 build 210702

Công cụ HikvisionExploiter thậm chí còn được chia sẻ công khai trên GitHub, khiến mọi người, kể cả những kẻ tấn công không chuyên có thể dễ dàng sử dụng.

Đó là lý do tại sao nhiều tổ chức an ninh mạng quốc tế coi đây là “vấn đề khẩn cấp cấp doanh nghiệp”.

Nguy cơ thực tế với doanh nghiệp​

Nếu hệ thống camera của bạn thuộc các model hoặc firmware nói trên, các rủi ro sau là rất thực tế:

1. Mất quyền kiểm soát camera​

Hacker có thể điều khiển camera, tắt ghi hình, chuyển hướng hình ảnh, hoặc xem trực tiếp video.

2. Rò rỉ hình ảnh nhạy cảm​

Ảnh hoặc video nội bộ có thể bị trích xuất, đe dọa đến an toàn dữ liệu cá nhân và bí mật kinh doanh.

3. Xâm nhập mạng nội bộ​

Camera IP thường nằm trong cùng VLAN với máy chủ NAS, PC hoặc server quản trị.
Nếu hacker chiếm được camera, họ có thể pivot sang hệ thống khác trong mạng.

4. Dùng camera làm botnet​

Nhiều hacker sử dụng thiết bị IoT bị nhiễm để tạo botnet DDoS, gây nghẽn hệ thống mạng của chính doanh nghiệp.

Giải pháp bảo vệ doanh nghiệp triển khai camera Hikvision​

1. Cập nhật firmware mới nhất​

• Truy cập trang Hikvision Portal
• Kiểm tra phiên bản hiện tại và nâng cấp lên V5.7.0 hoặc cao hơn.
• Tuyệt đối không để camera kết nối Internet trực tiếp khi firmware còn cũ.

2. Phân đoạn mạng (Network Segmentation)​

Tách mạng camera ra khỏi hệ thống nội bộ (NAS, server, ERP).
Điều này giúp hạn chế rủi ro nếu một thiết bị bị xâm nhập.

3. Tắt cổng và dịch vụ không cần thiết​

Hạn chế truy cập web, Telnet, hoặc FTP nếu không dùng đến.
Chỉ cho phép truy cập camera thông qua VPN hoặc VLAN riêng biệt.

4. Kiểm tra endpoint dễ bị khai thác​

Kiểm tra /onvif-http/snapshot – nếu vẫn truy cập được mà không cần đăng nhập, thiết bị của bạn đang không an toàn.

5. Áp dụng giám sát & quản lý tập trung​

Dùng NAS hoặc hệ thống quản trị để lưu log camera, giám sát truy cập bất thường.
Giải pháp NAS của Synology (do Vietcorp phân phối) có thể tích hợp Surveillance Station giúp theo dõi và sao lưu bảo mật.

Vietcorp đối tác đồng hành cùng bạn trong hành trình bảo mật toàn diện​

• Không chỉ bán sản phẩm camera - chúng tôi còn cung cấp dịch vụ kiểm tra & cập nhật firmware định kỳ cho khách hàng.
• Tư vấn giải pháp lưu trữ video an toàn trên NAS, có tính năng snapshot, backup và audit log.
• Kết hợp với Synology Surveillance Station để tạo giải pháp camera + lưu trữ + bảo mật hoàn chỉnh.

Kết luận​

Công cụ HikvisionExploiter không chỉ là một mối nguy kỹ thuật – nó là lời cảnh báo cho toàn ngành IoT rằng mọi thiết bị kết nối mạng đều có thể trở thành điểm yếu nếu không được cập nhật và bảo vệ đúng cách.

Doanh nghiệp, đại lý, và nhà phân phối cần chủ động trong việc kiểm tra, nâng cấp và bảo vệ hệ thống camera – trước khi chúng trở thành “cửa hậu” mở toang cho hacker.

Về Vietcorp​

Vietcorp là Synology Gold Partner tại Việt Nam, chuyên cung cấp giải pháp lưu trữ, sao lưu dữ liệu và hạ tầng CNTT toàn diện cho doanh nghiệp. Với mạng lưới đối tác rộng khắp và đội ngũ kỹ thuật giàu kinh nghiệm, Vietcorp cam kết mang đến giải pháp tối ưu, dịch vụ tận tâm và sự đồng hành lâu dài cùng khách hàng trong hành trình chuyển đổi số.

Liên hệ tư vấn giải pháp

Inbox ngay hoặc gọi Hotline/Zalo: 0814 247 247 để được tư vấn về các giải pháp của Synology!Tham khảo các dòng sản phẩm Synology tại đây.
Đăng ký thành viên và theo dõi Vietcorp để cập nhật các giải pháp mới nhất từ Synology.

Liên hệ ngay Vietcorp để được hỗ trợ chuyên sâu về Synology!
Vietcorp là đối tác uy tín của Synology, chúng tôi tự hào đạt các danh hiệu:
Synology Gold Partner
Synology Service Provider
Synology System Integrator
Synology Mail Specialist
Synology Surveillance Specialist
Synology Surveillance Solutions

Vietcorp nhà phân phối & tích hợp của các thương hiệu hàng đầu như Synology, Centerm, vCloudPoint, NComputing, WD, Seagate, Aruba, Unifi, Hikvision, Axis, Microsoft,...