Une vulnérabilité d'exécution de code à distance (RCE) a été découverte dans certains produits de Hikvision, un fabricant chinois populaire de caméras réseau.

La vulnérabilité de sécurité, repérée sous le nom de CVE-2021-36260, pourrait permettre à un acteur malveillant de prendre complètement le contrôle d'une caméra connectée à Internet et potentiellement des réseaux internes.

Le bug, attribué un score CVSS de 9,8, permet à l'attaquant d'obtenir "un accès bien plus important que celui dont dispose même le propriétaire de l'appareil, car il est limité à un 'shell protégé' (psh) qui filtre l'entrée d'un ensemble prédéfini de commandes limitées, essentiellement informatives", explique le chercheur, surnommé "Watchful IP".

"En plus de la compromission complète de la caméra IP, les réseaux internes peuvent être accessibles et attaqués". Un article a été publié sur le blog expliquant en détail le proof of concept.

Ils ajoutent : "Étant donné le déploiement de ces caméras sur des sites sensibles, même les infrastructures critiques sont potentiellement menacées."

Le chercheur affirme que le firmware est susceptible d'être affecté par le bug depuis 2016 déjà.