-
09/04/2020
-
93
-
604 bài viết
Người dùng camera PTZ hãy cẩn thận với các lỗ hổng zero-day
Tin tặc đang cố gắng khai thác 2 lỗ hổng zero-day trong các camera phát trực tiếp PTZOptics có khả năng quay quét - nghiêng - phóng to (PTZ), được sử dụng trong lĩnh vực công nghiệp, chăm sóc sức khỏe, hội nghị doanh nghiệp, chính phủ và phòng xử án.
Chuyên gia đã phát hiện ra CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty.
Sau khi kiểm tra cảnh báo, các nhà nghiên cứu đã phát hiện ra hành động khai thác nhắm vào API dựa trên CGI của camera và nhúng 'ntp_client' với mục đích chèn lệnh.
CVE-2024-8956 là lỗ hổng xác thực yếu trong máy chủ web 'lighthttpd' của camera, cho phép người dùng truy cập trái phép vào API CGI mà không cần tiêu đề xác thực, từ đó lộ tên người dùng, hàm băm mật khẩu MD5 và cấu hình mạng.
CVE-2024-8957 là lỗi do việc làm sạch đầu vào không đủ trong trường 'ntp.addr' được xử lý bởi tệp nhị phân 'ntp_client', cho phép kẻ tấn công sử dụng payload để chèn lệnh thực thi mã từ xa.
Việc khai thác 2 lỗ hổng trên có thể chiếm quyền điều khiển camera hoàn toàn, nhiễm bot, tấn công sang các thiết bị khác được kết nối trên cùng một mạng hoặc làm gián đoạn nguồn cấp dữ liệu video.
Sau một thời gian hoạt động đáng ngờ lắng xuống, một cuộc tấn công khác đã xuất hiện, cho thấy kẻ tấn công cố gắng sử dụng wget để tải xuống một script nhằm kiểm soát từ xa máy bị tấn công.
Các camera hỗ trợ NDI dựa trên chip Hisilicon Hi3516A V600 và chạy firmware VHD PTZ phiên bản cũ hơn 6.3.40 bị ảnh hưởng bởi 2 lỗ hổng này. Một số mẫu từ PTZOptics, Multicam Systems SAS, và SMTAV Corporation cũng bị ảnh hưởng.
2 lỗ hổng CVE-2024-8956 và CVE-2024-8957 chưa được vá hoàn toàn. Mặc dù PTZOptics đã phát hành bản vá cho một số thiết bị vào ngày 17 tháng 9, nhưng các mẫu đã hết vòng đời và một số mẫu mới hơn vẫn chưa có bản vá. PTZOptics cũng đã được thông báo về phạm vi mở rộng của lỗ hổng nhưng chưa phát hành bản vá tính đến thời điểm hiện tại.
Người dùng được khuyến cáo cần xác minh với nhà cung cấp để đảm bảo thiết bị đã được cập nhật bản vá mới nhất có sẵn cho thiết bị.
Chuyên gia đã phát hiện ra CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty.
Sau khi kiểm tra cảnh báo, các nhà nghiên cứu đã phát hiện ra hành động khai thác nhắm vào API dựa trên CGI của camera và nhúng 'ntp_client' với mục đích chèn lệnh.
CVE-2024-8956 là lỗ hổng xác thực yếu trong máy chủ web 'lighthttpd' của camera, cho phép người dùng truy cập trái phép vào API CGI mà không cần tiêu đề xác thực, từ đó lộ tên người dùng, hàm băm mật khẩu MD5 và cấu hình mạng.
CVE-2024-8957 là lỗi do việc làm sạch đầu vào không đủ trong trường 'ntp.addr' được xử lý bởi tệp nhị phân 'ntp_client', cho phép kẻ tấn công sử dụng payload để chèn lệnh thực thi mã từ xa.
Việc khai thác 2 lỗ hổng trên có thể chiếm quyền điều khiển camera hoàn toàn, nhiễm bot, tấn công sang các thiết bị khác được kết nối trên cùng một mạng hoặc làm gián đoạn nguồn cấp dữ liệu video.
Sau một thời gian hoạt động đáng ngờ lắng xuống, một cuộc tấn công khác đã xuất hiện, cho thấy kẻ tấn công cố gắng sử dụng wget để tải xuống một script nhằm kiểm soát từ xa máy bị tấn công.
Các camera hỗ trợ NDI dựa trên chip Hisilicon Hi3516A V600 và chạy firmware VHD PTZ phiên bản cũ hơn 6.3.40 bị ảnh hưởng bởi 2 lỗ hổng này. Một số mẫu từ PTZOptics, Multicam Systems SAS, và SMTAV Corporation cũng bị ảnh hưởng.
2 lỗ hổng CVE-2024-8956 và CVE-2024-8957 chưa được vá hoàn toàn. Mặc dù PTZOptics đã phát hành bản vá cho một số thiết bị vào ngày 17 tháng 9, nhưng các mẫu đã hết vòng đời và một số mẫu mới hơn vẫn chưa có bản vá. PTZOptics cũng đã được thông báo về phạm vi mở rộng của lỗ hổng nhưng chưa phát hành bản vá tính đến thời điểm hiện tại.
Người dùng được khuyến cáo cần xác minh với nhà cung cấp để đảm bảo thiết bị đã được cập nhật bản vá mới nhất có sẵn cho thiết bị.
Theo Bleeping Computer