Hackerii încearcă să exploateze două vulnerabilități zero-day în camerele de streaming live PTZOptics pan-tilt-zoom (PTZ) utilizate în medii industriale, de sănătate, conferințe de afaceri, guvernamentale și în instanțe.
În aprilie 2024, GreyNoise a descoperit CVE-2024-8956 și CVE-2024-8957 după ce instrumentul său de detecție a amenințărilor alimentat de inteligența artificială, Sift, a detectat activitate neobișnuită în rețeaua sa honeypot care nu se potrivea cu nicio amenințare cunoscută.
La examinarea alertei, cercetătorii GreyNoise au descoperit o încercare de exploatare care viza API-ul bazat pe CGI al camerei și ‘ntp_client’ încorporat, având ca scop injectarea de comenzi.
O analiză tehnică detaliată realizată de cercetătorul GreyNoise Konstantin Lazarev oferă mai multe informații despre cele două defecte.
CVE-2024-8956 este o problemă de autentificare slabă în serverul web ‘lighthttpd’ al camerei, permițând utilizatorilor neautorizați să acceseze API-ul CGI fără un antet de autorizare, expunând numele de utilizator, hash-urile de parole MD5 și configurațiile de rețea.
CVE-2024-8957 este cauzată de o insuficiență în sanația intrărilor în câmpul ‘ntp. addr’ procesat de binarul ‘ntp_client’, permițând atacatorilor să folosească o încărcătură special creată pentru a insera comenzi pentru execuție de cod la distanță.
Greynoise menționează că exploatarea acestor două defecte poate duce la preluarea completă a camerei, infectarea cu roboți, pivotarea către alte dispozitive conectate la aceeași rețea sau la întreruperea fluxurilor video.
Firma de securitate cibernetică raportează că, în timp ce sursa activității inițiale a tăcut scurt timp după atacurile honeypot, s-a observat o încercare separată de a folosi wget pentru descărcarea unui script shell pentru accesul la shell invers în iunie.
La descoperirea CVE-2024-8956 și CVE-2024-8957, GreyNoise a lucrat cu VulnCheck pentru divulgarea responsabilă către vendorii afectați.
Dispozitivele afectate de cele două defecte sunt camerele NDI-enable bazate pe Hisilicon Hi3516A V600 SoC V60, V61 și V63, care rulează versiuni mai vechi de firmware VHD PTZ camera anterioare versiunii 6.3.40.
Aceasta include mai multe modele de la PTZOptics, camerele Multicam Systems SAS și dispozitivele SMTAV Corporation.
PTZOptics a lansat o actualizare de securitate la 17 septembrie, dar modelele precum PT20X-NDI-G2 și PT12X-NDI-G2 nu au primit o actualizare de firmware din cauza ajungerii la sfârșitul ciclului de viață.
Mai târziu, GreyNoise a descoperit că cel puțin două modele mai noi, PT20X-SE-NDI-G3 și PT30X-SE-NDI-G3, care de asemenea nu au primit un patch, au fost afectate de asemenea.
PTZOptics a fost notificat despre domeniul extins prin VulnCheck la 25 octombrie, dar nu s-au lansat remedieri pentru aceste modele până la momentul redactării.
GreyNoise a declarat pentru BleepingComputer că defectele afectează probabil o gamă largă de modele de camere.
„Noi (cu tărie) credem că o gamă mai largă de dispozitive este afectată, indicând potential că vinovatul real se află în cadrul de dezvoltare de software pe care producătorul (ValueHD / VHD Corporation) îl utilizează,” a declarat GreyNoise pentru BleepingComputer.
Având în vedere acestea, utilizatorii ar trebui să verifice cu vendorul dispozitivului lor pentru a vedea dacă remedierile pentru CVE-2024-8956 și CVE-2024-8957 au fost incluse în cea mai recentă actualizare de firmware disponibilă pentru dispozitivele lor.
Atac masiv de ransomware PSAUX vizează 22.000 de instanțe CyberPanel
Google: 70% dintre defectele exploatate dezvăluite în 2023 au fost zero-day-uri
Mozilla rezolvă zero-day-ul Firefox activ exploatat în atacuri
Ivanti avertizează cu privire la încă trei zero-day-uri CSA exploatate în atacuri
Qualcomm rezolvă zero-day-ul cu severitate ridicată exploatat în atacuri
Leave a Reply