Een lang bekende kwetsbaarheid in internetverbonden Hikvision-camera’s was in 2025 verantwoordelijk voor meer dan 67 miljoen cyberaanvallen gericht op Britse netwerken, volgens gegevens van cyberbeveiligingsbedrijf SonicWall.
De aanvallen werden gedetecteerd via netwerkperimetermonitoring, waarbij SonicWall-firewalls kwaadaardige activiteiten identificeerden en blokkeerden voordat deze interne systemen bereikten. Het bedrijf verklaarde dat de Hikvision-gerelateerde exploit ongeveer 20% van alle middelmatige en hoogernstige inbraakpreventiewaarschuwingen op Britse netwerken uitmaakte.
De kwetsbaarheid, die enkele jaren geleden voor het eerst werd onthuld, treft wijdverspreide IP-cameraapparaten en maakt het mogelijk om op afstand commando’s uit te voeren. Dit betekent dat aanvallers kwaadaardige instructies naar een apparaat kunnen sturen, wat mogelijk ongeautoriseerde toegang, systeemcontrole of gebruik van het apparaat in een bredere aanvalsinfrastructuur mogelijk maakt.
Onderzoekers zeiden dat het voortdurende gebruik van deze zwakte het voortbestaan van niet-gepatchte of niet-ondersteunde apparaten in actieve omgevingen weerspiegelt. SonicWall omschreef dit als onderdeel van een “zombie tech”-probleem, waarbij verouderde hardware ondanks bekende beveiligingsrisico’s nog steeds verbonden blijft met netwerken.
Hikvision-camera’s worden veel gebruikt in residentiële, commerciële en publieke sectoren, waaronder kantoren, magazijnen en infrastructuursystemen. Hun schaal van implementatie vergroot de potentiële blootstelling wanneer kwetsbaarheden niet worden aangepakt via updates of vervanging.
De gegevens maken deel uit van een bredere analyse van cyberdreigingen in het Verenigd Koninkrijk. SonicWall meldde dat hoewel het totale aantal ransomware-aanvallen in dezelfde periode afnam, het aantal succesvolle compromitteringen toenam. Deze verschuiving werd toegeschreven aan meer gerichte aanvalsmethoden in plaats van aan grootschalige geautomatiseerde campagnes.
Naast cameraapparaten identificeerde het rapport ook lopende scanactiviteiten gericht op andere netwerkverbonden hardware, waaronder consumentenrouters. Zo registreerde SonicWall meer dan 600.000 aanvalpogingen tegen een specifiek routermodel over een subset van gemonitorde firewalls.
Beveiligingsonderzoekers stelden dat veel van deze aanvallen gebaseerd zijn op kwetsbaarheden die al jaren publiekelijk bekend zijn. De voortdurende activiteit geeft aan dat aanvallers systemen kunnen identificeren en misbruiken die niet zijn gepatcht of goed beveiligd.
De bevindingen zijn gebaseerd op telemetrie verzameld van firewall-implementaties, die pogingen tot inbrekingen aan de netwerkrand vastleggen. Deze detecties omvatten geautomatiseerd scannen, exploitpogingen en ander kwaadaardig verkeer gericht op blootgestelde apparaten.
Er werden in de gegevens geen specifieke organisaties geïdentificeerd die door de Hikvision-gerelateerde aanvallen werden getroffen. SonicWall maakte niet bekend of een van de gedetecteerde pogingen tot bevestigde inbreuken leidde.