-
09/04/2020
-
85
-
553 bài viết
Cảnh báo lỗ hổng nghiêm trọng chưa được vá trong Camera Uniview ISC
Các nhà nghiên cứu đang cảnh báo về lỗ hổng nghiêm trọng có mã định danh CVE-2024-0778 ảnh hưởng đến dòng camera Zhejiang Uniview ISC (Trung Quốc) đã không còn được hỗ trợ.
CVE-2024-0778 có điểm CVSS 8,0, hiện vẫn chưa được vá trên các thiết bị đã bị khai tử hoặc không còn được hỗ trợ. Lỗ hổng này có thể cho phép kẻ tấn công chèn mã độc và chiếm quyền kiểm soát các thiết bị camera mục tiêu.
Nguyên nhân tồn tại lỗ hổng CVE-2024-0778 là việc khai thác hàm setNatConfig trong tệp /Interface/DevManager/VM.php. Bằng cách thao túng các đối số yêu cầu như natAddress, natPort và natServerPort, kẻ tấn công có thể chèn và thực thi các lệnh hệ điều hành tùy ý với quyền root.
Nhóm nghiên cứu Akamai SIRT cho biết những kẻ tấn công đang liên kết việc khai thác lỗ hổng này với botnet Mirai để thực hiện nhiều cuộc tấn công nguy hiểm.
Tiếp tục phân tích cho thấy liên kết của các cuộc tấn công với mạng lưới máy chủ lệnh và điều khiển (C&C) của botnet Condi sau khi mã nguồn của nó được công bố vào năm 2023, nhiều kẻ tấn công có thể đang lợi dụng botnet này.
Máy chủ lệnh và điều khiển (C&C) của chiến dịch tấn công này chủ yếu đặt tại Việt Nam. Có dấu hiệu cho thấy những kẻ tấn công đang cố gắng sử dụng lại tên miền, địa chỉ IP và dường như liên quan đến một mô hình tấn công lớn hơn là “NetKiller”. Từ giữa năm 2023, nhóm này chủ yếu sử dụng các biến thể Mirai (SORA và LZRD) và thường sử dụng máy chủ Việt Nam với việc đặt tên miền đặc biệt.
Những kẻ tấn công không chỉ tập trung vào lỗ hổng trong camera Uniview mà còn khai thác các lỗ hổng khác (cả cũ và mới) để triển khai các biến thể phần mềm độc hại Mirai. Mã của kẻ tấn công cho thấy chúng cố gắng tải xuống phần mềm độc hại, khởi chạy và sau đó xóa sạch dấu vết hoạt động.
Loại camera này đã lỗi thời, không còn được nhà sản xuất hỗ trợ nữa nên sẽ không có bản vá. Cách duy nhất là người dùng nên thay thế bằng một dòng sản phẩm khác. Bên cạnh đó, nếu một thiết bị công nghệ không còn được phát hành bản cập nhật thì người dùng có thể ngắt kết nối với Internet.
CVE-2024-0778 có điểm CVSS 8,0, hiện vẫn chưa được vá trên các thiết bị đã bị khai tử hoặc không còn được hỗ trợ. Lỗ hổng này có thể cho phép kẻ tấn công chèn mã độc và chiếm quyền kiểm soát các thiết bị camera mục tiêu.
Nguyên nhân tồn tại lỗ hổng CVE-2024-0778 là việc khai thác hàm setNatConfig trong tệp /Interface/DevManager/VM.php. Bằng cách thao túng các đối số yêu cầu như natAddress, natPort và natServerPort, kẻ tấn công có thể chèn và thực thi các lệnh hệ điều hành tùy ý với quyền root.
Nhóm nghiên cứu Akamai SIRT cho biết những kẻ tấn công đang liên kết việc khai thác lỗ hổng này với botnet Mirai để thực hiện nhiều cuộc tấn công nguy hiểm.
Tiếp tục phân tích cho thấy liên kết của các cuộc tấn công với mạng lưới máy chủ lệnh và điều khiển (C&C) của botnet Condi sau khi mã nguồn của nó được công bố vào năm 2023, nhiều kẻ tấn công có thể đang lợi dụng botnet này.
Máy chủ lệnh và điều khiển (C&C) của chiến dịch tấn công này chủ yếu đặt tại Việt Nam. Có dấu hiệu cho thấy những kẻ tấn công đang cố gắng sử dụng lại tên miền, địa chỉ IP và dường như liên quan đến một mô hình tấn công lớn hơn là “NetKiller”. Từ giữa năm 2023, nhóm này chủ yếu sử dụng các biến thể Mirai (SORA và LZRD) và thường sử dụng máy chủ Việt Nam với việc đặt tên miền đặc biệt.
Những kẻ tấn công không chỉ tập trung vào lỗ hổng trong camera Uniview mà còn khai thác các lỗ hổng khác (cả cũ và mới) để triển khai các biến thể phần mềm độc hại Mirai. Mã của kẻ tấn công cho thấy chúng cố gắng tải xuống phần mềm độc hại, khởi chạy và sau đó xóa sạch dấu vết hoạt động.
Loại camera này đã lỗi thời, không còn được nhà sản xuất hỗ trợ nữa nên sẽ không có bản vá. Cách duy nhất là người dùng nên thay thế bằng một dòng sản phẩm khác. Bên cạnh đó, nếu một thiết bị công nghệ không còn được phát hành bản cập nhật thì người dùng có thể ngắt kết nối với Internet.
Theo Security Online