Ngày 03 tháng 5 năm 2023Ravie LakshmananGiám sát / Lỗ hổng bảo mật
Theo một lời khuyên của fortinet FortiGuard Labs, các tác nhân đe dọa đang tích cực khai thác một lỗ hổng đã tồn tại 5 năm chưa được vá ảnh hưởng đến các thiết bị ghi video kỹ thuật số (DVR) TBK.
Lỗ hổng được đề cập là CVE-2018-9995 (điểm CVSS: 9,8), một sự cố bỏ qua xác thực quan trọng có thể bị các tác nhân từ xa khai thác để có được quyền nâng cao.
“Lỗ hổng 5 năm tuổi (CVE-2018-9995) là do lỗi khi xử lý cookie HTTP được tạo thủ công một cách độc hại,” Fortinet cho biết trong một cảnh báo về đợt bùng phát vào ngày 1 tháng 5 năm 2023. “Kẻ tấn công từ xa có thể khai thác lỗ hổng này để vượt qua xác thực và có được đặc quyền quản trị, cuối cùng dẫn đến quyền truy cập vào nguồn cấp dữ liệu video của máy ảnh.”
Công ty an ninh mạng cho biết họ đã quan sát thấy hơn 50.000 nỗ lực khai thác các thiết bị TBK DVR bằng cách sử dụng lỗ hổng này vào tháng 4 năm 2023. Mặc dù có sẵn phương pháp khai thác bằng chứng khái niệm (PoC), nhưng không có bản sửa lỗi nào giải quyết được lỗ hổng.
Lỗ hổng ảnh hưởng đến các dòng sản phẩm TBK DVR4104 và DVR4216, những sản phẩm này cũng được đổi thương hiệu và bán với tên CeNova, Đăng nhập DVR, Đăng nhập HVR, Đăng nhập MDVR, Night OWL, Novo, QSee, Pulnix, Securus và XVR 5 in 1.
Ngoài ra, Fortinet cảnh báo về sự gia tăng khai thác lỗ hổng CVE-2016-20016 (điểm CVSS: 9,8), một lỗ hổng nghiêm trọng khác ảnh hưởng đến các mẫu đầu ghi hình MVPower CCTV, bao gồm TV-7104HE 1.8.4 115215B9 và TV7108HE.
Lỗ hổng có thể cho phép kẻ tấn công từ xa không được xác thực thực thi các lệnh tùy ý của hệ điều hành với quyền root do sự hiện diện của trình bao web có thể truy cập được qua URI /shell.
Fortinet lưu ý: “Với hàng chục nghìn TBK DVR có sẵn dưới các thương hiệu khác nhau, mã PoC có sẵn công khai và dễ khai thác khiến lỗ hổng này trở thành mục tiêu dễ dàng cho những kẻ tấn công”. “Sự tăng đột biến gần đây trong việc phát hiện IPS cho thấy các thiết bị camera mạng vẫn là mục tiêu phổ biến của những kẻ tấn công.”
