Οι χάκερ προσπαθούν να εκμεταλλευτούν δύο τρωτά σημεία μηδενικής ημέρας στις κάμερες ζωντανής ροής PTZOptics pan-tilt-zoom (PTZ) που χρησιμοποιούνται σε βιομηχανικές, υγειονομικές, επιχειρηματικές διασκέψεις, κυβερνητικές και δικαστικές ρυθμίσεις.
Τον Απρίλιο του 2024, η GreyNoise ανακάλυψε τα CVE-2024-8956 και CVE-2024-8957 αφού το εργαλείο ανίχνευσης απειλών με τεχνητή νοημοσύνη, το Sift, εντόπισε ασυνήθιστη δραστηριότητα στο δίκτυο honeypot που δεν αντιστοιχούσε σε καμία γνωστή απειλή.
Μετά την εξέταση της ειδοποίησης, Οι ερευνητές του GreyNoise αποκάλυψαν μια προσπάθεια εκμετάλλευσης που στόχευε το API που βασίζεται σε CGI της κάμερας και ενσωματώνει το ‘ntp_client’ με στόχο την επίτευξη ένεσης εντολών.
ΕΝΑ τεχνική βαθιά κατάδυση από τον ερευνητή του GreyNoise, Konstantin Lazarev, παρέχει περισσότερες πληροφορίες για τα δύο ελαττώματα.
Το CVE-2024-8956 είναι ένα αδύναμο πρόβλημα ελέγχου ταυτότητας στον διακομιστή web «lighthttpd» της κάμερας, που επιτρέπει σε μη εξουσιοδοτημένους χρήστες να έχουν πρόσβαση στο CGI API χωρίς κεφαλίδα εξουσιοδότησης, η οποία εκθέτει ονόματα χρήστη, κατακερματισμούς κωδικών πρόσβασης MD5 και διαμορφώσεις δικτύου.
Το CVE-2024-8957 προκαλείται από ανεπαρκή απολύμανση εισόδου στο ‘ntp. Το πεδίο “adr” επεξεργάζεται το δυαδικό “ntp_client”, επιτρέποντας στους εισβολείς να χρησιμοποιούν ένα ειδικά διαμορφωμένο ωφέλιμο φορτίο για να εισάγουν εντολές για απομακρυσμένη εκτέλεση κώδικα.
Η Greynoise σημειώνει ότι η εκμετάλλευση αυτών των δύο ελαττωμάτων μπορεί να οδηγήσει σε πλήρη κατάληψη της κάμερας, μόλυνση με bots, περιστροφή σε άλλες συσκευές συνδεδεμένες στο ίδιο δίκτυο ή διακοπή των ροών βίντεο.
Η εταιρεία κυβερνοασφάλειας αναφέρει ότι ενώ η πηγή της αρχικής δραστηριότητας αποσιωπήθηκε λίγο μετά τις επιθέσεις honeypot, τον Ιούνιο παρατηρήθηκε μια ξεχωριστή προσπάθεια χρησιμοποιώντας το wget για λήψη ενός σεναρίου κελύφους για πρόσβαση σε αντίστροφο κέλυφος.
Κατάσταση αποκάλυψης και επιδιόρθωσης
Με την ανακάλυψη CVE-2024-8956 και CVE-2024-8957η GreyNoise συνεργάστηκε με το VulnCheck για υπεύθυνη αποκάλυψη σε προμηθευτές που επηρεάστηκαν.
Πηγή: GreyNoise
Οι συσκευές που επηρεάζονται από τα δύο ελαττώματα είναι κάμερες με δυνατότητα NDI που βασίζονται στο Hisilicon Hi3516A V600 SoC V60, V61 και V63, οι οποίες εκτελούν εκδόσεις υλικολογισμικού κάμερας VHD PTZ παλαιότερες από 6.3.40.
Αυτό περιλαμβάνει πολλά μοντέλα από τις κάμερες PTZOptics, Multicam Systems SAS και συσκευές SMTAV Corporation.
Η PTZOptics κυκλοφόρησε μια ενημέρωση ασφαλείας στις 17 Σεπτεμβρίου, αλλά μοντέλα όπως το PT20X-NDI-G2 και το PT12X-NDI-G2 δεν έλαβαν ενημέρωση υλικολογισμικού λόγω του ότι έφτασαν στο τέλος της ζωής τους.
Αργότερα, η GreyNoise ανακάλυψε ότι τουλάχιστον δύο νεότερα μοντέλα, τα PT20X-SE-NDI-G3 και PT30X-SE-NDI-G3, τα οποία επίσης δεν έλαβαν patch, επηρεάστηκαν επίσης.
Η PTZOptics ειδοποιήθηκε για το διευρυμένο πεδίο εφαρμογής μέσω του VulnCheck στις 25 Οκτωβρίου, αλλά δεν έχουν κυκλοφορήσει διορθώσεις για αυτά τα μοντέλα μέχρι τη στιγμή της σύνταξης.
Η GreyNoise είπε στο BleepingComputer ότι τα ελαττώματα πιθανότατα επηρεάζουν ένα ευρύ φάσμα μοντέλων καμερών.
“Πιστεύουμε (ακράδαντα) ότι επηρεάζεται ένα ευρύτερο φάσμα συσκευών, υποδεικνύοντας πιθανώς ότι ο πραγματικός ένοχος βρίσκεται στο SDK που χρησιμοποιεί ο κατασκευαστής (ValueHD / VHD Corporation)”, δήλωσε ο GreyNoise στο BleepingComputer.
Τούτου λεχθέντος, οι χρήστες θα πρέπει να επικοινωνήσουν με τον προμηθευτή της συσκευής τους για να δουν εάν οι επιδιορθώσεις για τα CVE-2024-8956 και CVE-2024-8957 έχουν ενσωματωθεί στην πιο πρόσφατη διαθέσιμη ενημέρωση υλικολογισμικού για τις συσκευές τους.
VIA: bleepingcomputer.com
