# CVE-2017-7921 - Bypass de Autenticação em Câmeras IP Hikvision > [!critical] CVSS 10.0 - CISA KEV - Exploit Público Amplamente Disponível > Bypass de autenticação crítico em câmeras IP Hikvision permite acesso administrativo remoto sem credenciais. Vulnerabilidade de 2017 ainda amplamente explorada por botnets IoT e grupos APT. Dezenas de milhares de dispositivos ainda expostos globalmente. ## Visão Geral O **CVE-2017-7921** é uma vulnerabilidade de bypass de autenticação (CWE-284) em múltiplos modelos de câmeras IP da **[[Hikvision]]**, um dos maiores fabricantes de câmeras de vigilância do mundo. A falha permite que um atacante remoto não autenticado acesse a câmera com privilégios administrativos completos simplesmente adicionando parâmetros específicos à URL da interface web do dispositivo. A gravidade desta vulnerabilidade é amplificada por três fatores: (1) o exploit é extremamente simples de executar, com códigos de prova de conceito públicamente disponíveis desde 2017; (2) a adoção massiva de câmeras Hikvision em todo o mundo cria uma superfície de ataque enorme; (3) a alta prevalência de dispositivos IoT sem políticas de atualização de firmware resulta em dezenas de milhares de câmeras ainda vulneráveis anos após a divulgação. Botnets como o **[[mirai-botnet|Mirai]]** e suas variantes exploram ativamente esta CVE para recrutar câmeras comprometidas para ataques DDoS, mineração de criptomoedas e infraestrutura de proxy. Adicionalmente, grupos APT com interesse em vigilância física exploram esta vulnerabilidade para acesso a câmeras em instalações de alto valor como sedes corporativas, infraestrutura crítica e instalações governamentais. ## Como Funciona A vulnerabilidade ocorre na interface CGI da câmera. O servidor web embarcado não válida adequadamente a autenticação quando determinados parâmetros são passados na URL. Um atacante pode contornar completamente o mecanismo de autenticação simplesmente adicionando `&auth=YWRtaW46MTEK` (base64 de `admin:1`) à URL de endpoints administrativos. ```mermaid graph TB A["🔍 CVE-2017-7921 · CVSS 10.0<br/>Hikvision Auth Bypass"] --> B["🎯 Localizar Câmera Exposta<br/>Shodan / varredura porta 80/8080<br/>Interface web Hikvision"] B --> C["💥 Bypass de Autenticação<br/>URL com parâmetro auth=YWRtaW46MTEK<br/>Sem necessidade de senha"] C --> D["🔧 Acesso Admin Completo<br/>Extrair stream de vídeo<br/>Modificar configurações"] D --> E["🔧 Exfiltrar Credenciais<br/>Obter senha admin em texto claro<br/>Pivô para rede local"] E --> F["💀 Comprometimento IoT<br/>Recrutar para botnet<br/>Vigilância ou DDoS"] classDef critical fill:#e74c3c,stroke:#e74c3c,color:#ecf0f1 classDef exploit fill:#e67e22,stroke:#e67e22,color:#ecf0f1 classDef postexploit fill:#2c3e50,stroke:#2c3e50,color:#ecf0f1 classDef impact fill:#3498db,stroke:#3498db,color:#ecf0f1 class A critical class B,C exploit class D,E postexploit class F impact ``` **Exploits disponíveis:** - Exploit público amplamente disponível no Exploit-DB e GitHub desde 2017 - Scripts de varredura automatizada integrados em ferramentas de pentest (Shodan, Metasploit) - Botnets automatizadas escaneiam continuamente o espaço IPv4 em busca de câmeras vulneráveis ## Produtos Afetados | Vendor | Produto | Versão de Firmware Afetada | Versão com Fix | |--------|---------|---------------------------|----------------| | Hikvision | DS-2CD Series (câmeras IP) | V5.2.0 build 140721 a V5.4.5 build 170123 | V5.4.5 build 170123 ou superior | | Hikvision | DS-2DE Series (PTZ câmeras) | Versões firmware ≤ 5.3.0 | Atualizar para versão mais recente | | Hikvision | DS-2DFx Series | Versões firmware vulneráveis | Atualizar para versão mais recente | | Hikvision | Múltiplos modelos OEM | Firmware baseado em Hikvision vulnerável | Verificar com fabricante | **Nota:** Câmeras OEM fabricadas com base no firmware Hikvision por outras marcas (especialmente câmeras brancas do mercado chinês) podem ser igualmente vulneráveis mesmo sem identificação direta como Hikvision. **Como verificar:** 1. Acessar a interface web da câmera 2. Verificar a versão de firmware em Configurações do Sistema 3. Comparar com as versões afetadas acima 4. Usar o [Hikvision Firmware Finder](https://www.hikvisioneurope.com/portal/?dir=portal/Technical%20Materials/02%20Firmware) para encontrar a versão mais recente ## Impacto Técnico Um atacante que explora esta vulnerabilidade obtém: - **Acesso ao feed de vídeo ao vivo e gravações:** comprometimento de privacidade e vigilância física - **Credenciais em texto claro:** possibilidade de extrair a senha do administrador para reutilização em outros sistemas - **Acesso à rede local:** câmeras frequentemente têm acesso à rede interna, servindo como pivô para movimentação lateral - **Controle do dispositivo:** capacidade de modificar configurações, desabilitar gravação, apagar evidências **Impacto em instalações críticas:** Câmeras Hikvision são amplamente usadas em bancos, prisões, instalações militares, aeroportos e infraestrutura crítica ao redor do mundo. O compromisso dessas câmeras pode expor operações de segurança física de alto valor. ## Contexto de Exploração Continuada Apesar de ter mais de 7 anos, esta CVE continua entre as mais exploradas globalmente: - **Shodan** (2024): mais de 80.000 câmeras Hikvision vulneráveis expostas na internet - **CISA KEV**: adicionada em março de 2022, indicando exploração ativa continuada - **Botnets**: Mirai, Moobot e variantes escaneiam ativamente por estas câmeras - **APTs**: grupos de espionagem documentados utilizando câmeras comprometidas como infraestrutura ## Mitigação **Patch oficial:** - Atualizar firmware para versão **V5.4.5 build 170123** ou qualquer versão mais recente - Portal de firmware Hikvision: verificar o modelo específico para a versão adequada - Nenhuma solução alternativa substitui a atualização de firmware **Ações imediatas:** 1. Inventariar todos os dispositivos Hikvision na organização (incluindo OEM) 2. Verificar a versão de firmware de cada dispositivo 3. Aplicar atualização de firmware urgentemente 4. **Remover exposição direta à internet** - câmeras de segurança NUNCA devem ser acessíveis diretamente da internet 5. Alterar todas as credenciais padrão (admin/12345, admin/admin) 6. Colocar câmeras em VLAN segregada sem acesso a sistemas críticos 7. Implementar autenticação forte e 2FA onde disponível **Configurações de segurança adicionais:** - Desabilitar o servidor web embarcado se acesso remoto não for necessário - Configurar listas de controle de acesso para restringir quais IPs podem acessar a câmera - Habilitar logging de autenticação e integrar com SIEM corporativo - Considerar uso de NVR/VMS centralizado com acesso via VPN em vez de exposição direta ## Contexto LATAM > [!latam] Impacto Brasil e América Latina > O Brasil é um dos maiores mercados de câmeras de videovigilância da América Latina, com alta penetração de dispositivos Hikvision em condomínios residenciais, estabelecimentos comerciais, bancos, órgãos públicos e infraestrutura crítica. A cultura de instalação por terceiros sem treinamento adequado resulta em alta prevalência de dispositivos com firmware desatualizado e senhas padrão. > > A combinação de alta densidade de dispositivos vulneráveis + baixas taxas de atualização de firmware cria um risco significativo para organizações e cidadãos brasileiros. Câmeras comprometidas em instalações críticas (bancos, aeroportos, instalações governamentais) representam tanto risco de espionagem quanto vetor de entrada na rede interna. O CERT.br registra explorações contínuas desta CVE contra alvos nacionais. ## Indicadores de Comprometimento > [!ioc]- IOCs - CVE-2017-7921 (TLP:GREEN) > **Padrões de exploração:** > - Requisições GET com parâmetro `auth=YWRtaW46MTEK` em URLs da interface web > - Acessos a endpoints CGI como `/onvif-http/snapshot`, `/System/configurationFile` sem autenticação > - Varreduras de porta 80, 8080, 443 em câmeras conhecidas > > **Comportamento suspeito no dispositivo:** > - Conexões de saída inesperadas para IPs externos (botnet C2) > - Aumento inesperado de tráfego de rede saindo da câmera > - Modificações de configuração sem ação administrativa registrada > - Alteração das credenciais de administrador > > **Fontes:** [Exploit-DB](https://www.exploit-db.com/exploits/44033) · [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) · [NVD](https://nvd.nist.gov/vuln/detail/CVE-2017-7921) · [ICS-CERT Advisory](https://www.cisa.gov/uscert/ics/advisories/ICSA-17-124-01) ## Notas Relacionadas **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1078-valid-accounts|T1078 - Valid Accounts]] · [[t1021-remote-services|T1021 - Remote Services]] **Técnica de pivô:** [[t1021-004-ssh|T1021.004 - SSH]] · [[t1133-external-remote-services|T1133 - External Remote Services]] **Setores em risco:** [[critical-infrastructure]] · [[government]] · [[financial]] **Mitigações:** [[m1030-network-segmentation|M1030 - Network Segmentation]] · [[m1027-password-policies|M1027 - Password Policies]] · [[m1051-update-software|M1051 - Update Software]] ## Referências - [NVD - CVE-2017-7921](https://nvd.nist.gov/vuln/detail/CVE-2017-7921) - [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [ICS-CERT Advisory ICSA-17-124-01](https://www.cisa.gov/uscert/ics/advisories/ICSA-17-124-01) - [Exploit-DB - Hikvision Auth Bypass](https://www.exploit-db.com/exploits/44033) - [Hikvision Security Advisory](https://www.hikvisioneurope.com/uk/portal/portal/Technical%20Materials/09%20Security/)