(068)204 50 24 (066)142 09 08
м. Київ, вулиця Юлії Здановської, 73Е

Корзина

Зламали камеру Hikvision: як перевірити і захистити обладнання

Камера Hikvision раптом показує чорний екран, пароль перестав підходити без вашої участі, або з'явився акаунт якого ви не створювали. Це не завжди технічний збій — це може бути наслідок реального злому через відому вразливість у старих прошивках. У цій статті — як розпізнати ознаки компрометації, чому старі камери Hikvision вразливі і покрокова інструкція відновлення контролю.

Ознаки того що камеру Hikvision могли зламати

На відміну від багатьох інших атак, злам через вразливість веб-сервера Hikvision не вимагає підбору пароля — зловмисник отримує контроль напряму. Ось характерні ознаки:

Симптом Що це означає
Камера сама змінила пароль Зловмисник отримав повний root-доступ і заблокував вас від власного пристрою
Чорний екран або «зависання» зображення Процеси камери змінені або зупинені шкідливим кодом
З'явився невідомий користувач Створено акаунт для постійного доступу — перевірте Configuration → User Management
Великий вихідний трафік ночами Камера може бути включена в ботнет і виконувати сторонні завдання (DDoS, сканування мереж)
Камера сама перезавантажується Може бути спричинено сторонніми процесами що навантажують систему
Веб-інтерфейс відкривається повільно Ресурси камери зайняті сторонніми процесами
Раптові підключення з невідомих IP в журналі System → Log → Login Failed з чужих адрес — спроби атаки

CVE-2021-36260: яка камера в групі ризику

У 2021 році дослідники безпеки виявили критичну вразливість у веб-сервері великої кількості камер, реєстраторів і термальних камер Hikvision, відому як CVE-2021-36260. Вразливість дозволяє зловмисникам отримати доступ до пристроїв через ін'єкцію шкідливих команд, потенційно компрометуючи всю мережу організації.

Проблема полягає в недостатній перевірці вхідних даних у веб-інтерфейсі пристрою — зловмисник надсилає спеціально сформований HTTP-запит зі шкідливими командами, і успішна атака дає віддалене виконання коду з правами root без потреби в авторизації. Це означає що навіть складний пароль не захищає — атака взагалі не потребує пароля.

Масштаб проблеми: За оцінками дослідників, вразливість зачепила понад 3.2 мільйони пристроїв Hikvision по всьому світу. Ботнет на основі Mirai під назвою Moobot активно експлуатував цю вразливість для зараження непропатчених пристроїв. Вразливість включена до каталогу активно експлуатованих CISA.

Які пристрої під загрозою:

  • Камери з версіями прошивки від 4.30.210 до 4.31.000 і Hikvision Web Server Build 210702
  • IP-камери, PTZ-камери, термальні камери і мережеві відеореєстратори (NVR) Hikvision різних серій
  • Будь-який пристрій з прошивкою старішою за вересень 2021 року який не оновлювався з того часу

Чому ця вразливість досі небезпечна у 2026 році

Незважаючи на патч випущений ще у вересні 2021 року, за пізнішими даними десятки тисяч камер Hikvision з цією вразливістю залишаються доступними і вразливими навіть через роки. Причина проста — багато власників не знають про проблему, не оновлюють прошивки роками, або купили камеру без розуміння необхідності регулярного обслуговування.

Автоматизовані боти постійно сканують весь інтернет шукаючи камери з відкритим портом 80 або 443 і вразливою версією прошивки. Якщо камера підключена до інтернету напряму (через прокидання портів на роутері) — час до виявлення може складати лічені години.

Як перевірити чи зламана ваша камера

  1. Перевірте версію прошивки: Configuration → System → System Settings → Basic Information. Якщо прошивка старіша за вересень 2021 (build раніше 210628) — пристрій вразливий незалежно від поточних симптомів
  2. Перевірте список користувачів: Configuration → System → User Management. Має бути тільки ваш admin-акаунт і ті які ви самі додавали
  3. Перевірте журнал входів: System → Log → тип Login Failed або Login Success. Знайдіть IP-адреси з яких надходили підключення — незнайомі зовнішні IP це сигнал
  4. Перевірте мережевий трафік камери через статистику роутера — аномально високе споживання вночі коли немає активності в кадрі
  5. Перевірте чи камера досі відповідає на ваш пароль — якщо пароль раптом не підходить хоча ви його не змінювали, це сильний сигнал компрометації

Покрокове відновлення контролю

Крок 0. Негайно: відключіть камеру від інтернету (витягніть мережевий кабель або вимкніть WiFi). Це зупинить активний контроль зловмисника над пристроєм.

Крок 1. Оновіть прошивку — обов'язково перед будь-якими іншими діями

  1. Завантажте актуальну прошивку для вашої моделі з розділу Hikvision на sapsan.org або офіційного сайту https://www.hikvision.com/en/support/download/firmware/
  2. Підключіть камеру локально до комп'ютера (без інтернету)
  3. Configuration → System → Maintenance → Upgrade & Maintenance → завантажте файл прошивки
  4. Зачекайте завершення оновлення — не відключайте живлення

Крок 2. Factory Default — повне скидання після оновлення

  1. Кнопка Reset на корпусі (якщо є) — затисніть на 10–15 секунд
  2. Або через SADP Tool / веб-інтерфейс: Configuration → Maintenance → Default → Restore Default

Крок 3. Перевірте і очистіть користувачів

Configuration → System → User Management — видаліть будь-який акаунт окрім вашого admin.

Крок 4. Встановіть надійний пароль

Мінімум 12 символів, великі/малі літери, цифри, спецсимволи.

Крок 5. Налаштуйте безпечний доступ перед повторним підключенням до інтернету

Не вмикайте назад пряме прокидання портів — використовуйте Hik-Connect P2P або VPN. Дивіться чек-лист нижче.

Потрібна допомога з відновленням камери? Звертайтесь безкоштовно

Чек-лист захисту на майбутнє

Захід Чому важливо
Регулярно оновлювати прошивку Закриває відомі вразливості, включно з CVE-2021-36260
Не відкривати порт 80/443 прямо в інтернет Атака вимагає лише доступу до веб-порту пристрою — закритий порт значно знижує ризик
Використовувати Hik-Connect P2P або VPN Безпечний доступ без прямого відкриття портів пристрою
Складний унікальний пароль Захист від інших, простіших векторів атаки (брутфорс)
Регулярно перевіряти список акаунтів і журнал Раннє виявлення підозрілої активності
Сегментація мережі (VLAN для камер) Обмежує можливість зловмисника рухатись по мережі після компрометації однієї камери
Якщо камера повністю недоступна через web-інтерфейс (зловмисник заблокував доступ повністю) — деякі моделі дозволяють відновлення прошивки через локальну мережу за допомогою спеціальних утиліт відновлення. Це складна технічна процедура — рекомендуємо звертатись до сервісу замість самостійних спроб які можуть остаточно вивести камеру з ладу.

Підозрюєте злам камери Hikvision?

Sapsan — офіційний партнер Hikvision з 2008 року. Допоможемо з діагностикою, відновленням і налаштуванням захисту. Безкоштовна консультація.

Звернутись до Sapsan

Часті запитання

Що таке CVE-2021-36260 і чи стосується вона моєї камери Hikvision?

CVE-2021-36260 — критична вразливість веб-сервера Hikvision яка дозволяла зловмисникам отримати повний контроль над пристроєм без авторизації. Стосується камер з прошивкою старішою за вересень 2021 року. Перевірте свою версію в Configuration → System → System Settings → Basic Information. Якщо прошивка стара — оновіть негайно навіть за відсутності видимих симптомів злому.

Чи допоможе складний пароль захистити камеру Hikvision від цієї вразливості?

Ні. CVE-2021-36260 — це вразливість обходу авторизації повністю, атака не вимагає пароля взагалі. Складний пароль захищає від інших видів атак (брутфорс), але не від цієї конкретної проблеми. Єдиний справжній захист — оновлення прошивки до версії випущеної після вересня 2021 року.

Камера Hikvision показує чорний екран — це обов'язково злом?

Не обов'язково — чорний екран частіше викликаний звичайними технічними проблемами: мережевим збоєм, несумісністю кодеку або зависанням камери. Але якщо чорний екран супроводжується іншими ознаками (пароль перестав підходити, з'явились невідомі акаунти, аномальний трафік) — це сигнал компрометації. Перевірте версію прошивки і журнал входів для підтвердження.

Як убезпечити камеру Hikvision від злому без втрати функції віддаленого доступу?

Використовуйте Hik-Connect P2P замість прямого прокидання портів на роутері — це дає віддалений доступ без відкритих в інтернет портів пристрою. Якщо потрібна інтеграція з VMS або сторонніми системами — налаштуйте VPN-з'єднання на роутері замість прямого доступу. Обов'язково тримайте прошивку актуальною і регулярно перевіряйте список користувачів пристрою.

Добавить комментарий
Имя
Ваш отзыв
Акции
Моментальный КЕШБЕК при оформлении заказа на сайте!
Введите Ваш телефон и получите видеонаблюдение и сигнализацию, по лучшей цене!