Fejlen spores som CVE-2021-36260 og blev rettet af Hikvision gennem en firmwareopdatering i september 2021.
I en hvidbog hævder Cyfirma, at titusindvis af systemer, der bruges af omkring 2.300 organisationer i 100 lande, stadig ikke har sikkerhedsopdateringen installeret.
Fejlen har været offentligt kendt ved to lejligheder. I december 2021 blev den brugt under en aggressiv DDoS, og i januar 2022 blev CISA informeret om, at fejlen cirkulerede i lister, der advarede organisationer om, at fejlen kunne tillade angribere at "tage kontrol" over enhederne.
Cyfirma hævder, at russisksprogede hackerfora ofte sælger adgangspunkter til netværk baseret på udnyttelige Hikvision-kameraer, som kan bruges til "botnetting" eller andre formål.
Ud fra en analyse af en prøve på 285.000 internet-vendte Hikvision-webservere fandt Cyfirma, at cirka 80.000 stadig var sårbare over for udnyttelse.
De fleste af disse er placeret i Kina og USA, mens Vietnam, Storbritannien, Ukraine, Thailand, Sydafrika, Frankrig, Holland og Rumænien alle har over 2.000 sårbare endepunkter, blandt andet i private hjem.
Udover sikkerhedsproblemerne med portadgang nævnes også adgangskodeproblemer, og at flere fora sælger lister med "åbne" kameraer.
Cyfirma anbefaler altid at installere den nyeste firmware og bruge en stærk adgangskode på alle enheder, samt at isolere IoT-netværk ved brug af firewalls eller VLAN.
Cyfirma advarer om, at russiske og kinesiske aktører kan udnytte sårbarheden i de ubeskyttede kameraer.