# CVE-2021-36260 - RCE sem Autenticação em Câmeras Hikvision > [!high] CVE-2021-36260 é uma vulnerabilidade crítica de injeção de comandos em câmeras IP Hikvision, explorada por botnets e grupos APT para recrutamento em infraestrutura de ataque e espionagem em redes de câmeras de vigilância. ## Visão Geral CVE-2021-36260 é uma injeção de comandos sem autenticação no servidor web embarcado de câmeras IP **Hikvision**. Um atacante pode enviar uma requisição HTTP especialmente elaborada ao parâmetro de URL do servidor web para executar comandos arbitrários com privilégios de root no dispositivo. A Hikvision é o maior fabricante mundial de câmeras de segurança, com presença massiva em prédios comerciais, infraestrutura crítica, hospitais e órgãos públicos no Brasil e na América Latina. O impacto desta CVE é ampliado pela enorme base instalada e pela dificuldade de atualização de firmware em dispositivos IoT/OT. A vulnerabilidade foi explorada ativamente pela botnet **Mirai** e variantes, além de ser documentada na campanha **Raptor Train** de atores ligados à China, que utilizou câmeras Hikvision comprometidas como nós de infraestrutura C2 e proxy. Estimativas apontam para mais de 80.000 dispositivos expostos globalmente no momento da divulgação. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Command injection sem autenticação | | Vetor | HTTP request ao servidor web embarcado | | Privilégio pós-exploit | root | | Impacto | Acesso completo ao dispositivo IoT | | PoC público | Disponível (Shodan-searchable) | ## TTPs Relacionadas - [[t1190-exploit-public-facing-application|T1190]] - Exploração de câmera exposta - [[t1098-account-manipulation|T1098]] - Modificação de credenciais do dispositivo - [[t1583-003-botnets|T1583.003]] - Câmeras recrutadas em botnets - [[m1030-network-segmentation|M1030]] - Segmentar câmeras em VLAN isolada ## Contexto LATAM > [!latam] Câmeras Hikvision CVE-2021-36260 têm presença maciça em condomínios, hospitais e prefeituras brasileiras. Pesquisadores identificaram dispositivos vulneráveis expostos via Shodan no Brasil em 2022-2023, muitos em redes de saúde pública e segurança urbana do estado de São Paulo. ## Detecção e Defesa **Mitigações recomendadas:** - Atualizar firmware Hikvision para versão setembro 2021 ou posterior - Remover câmeras da exposição direta à internet — usar VPN para acesso remoto - Segmentar câmeras em VLAN separada sem roteamento para a rede corporativa - Desabilitar o servidor web embarcado quando não necessário - Monitorar requisições HTTP anômalas em firewalls de borda ## Referências - [Hikvision Security Advisory](https://www.hikvision.com/en/support/cybersecurity/security-advisory/security-notification-command-injection-vulnerability-in-some-hikvision-products/) - [CISA — Hikvision Camera Vulnerability Alert](https://www.cisa.gov/news-events/ics-advisories/icsa-21-259-02) - [Rapid7 — CVE-2021-36260 Analysis](https://www.rapid7.com/blog/post/2021/09/20/hikvision-network-cameras-multiple-vulnerabilities/)