🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Tin tặc nhắm vào lỗ hổng zero-day quan trọng trong camera PTZ

07/11/2024

Tin tặc đang cố gắng khai thác 2 lỗ hổng bảo mật zero-day trong camera phát trực tiếp pan-tilt-zoom (PTZ) của PTZOptics được sử dụng trong các lĩnh vực công nghiệp, chăm sóc sức khỏe, hội nghị kinh doanh, chính phủ và phòng xử án.

Vào tháng 4 năm 2024, GreyNoise đã phát hiện ra CVE-2024-8956 và CVE-2024-8957 sau khi công cụ phát hiện mối đe dọa hỗ trợ AI, Sift, phát hiện hoạt động bất thường trên mạng honeypot của công ty mà không trùng với bất kỳ mối đe dọa nào đã biết.

Sau khi kiểm tra cảnh báo, các nhà nghiên cứu của GreyNoise đã phát hiện ra một nỗ lực khai thác nhắm vào API dựa trên CGI của camera và chèn 'ntp_client' với mục đích chèn lệnh.

Một cuộc nghiên cứu chuyên sâu của nhà nghiên cứu Konstantin Lazarev tại GreyNoise đã cung cấp thêm thông tin về 2 lỗ hổng này.

CVE-2024-8956 là một sự cố xác thực yếu trong máy chủ web 'lighthttpd' của camera, cho phép người dùng trái phép truy cập vào CGI API mà không cần tiêu đề xác thực, làm lộ tên người dùng, mật khẩu MD5 và cấu hình mạng.

CVE-2024-8957 là do quá trình khử trùng đầu vào trong trường 'ntp.addr' được xử lý bởi tệp nhị phân 'ntp_client' không đủ, cho phép kẻ tấn công sử dụng một tải trọng được thiết kế đặc biệt để chèn lệnh thực thi mã từ xa.

Greynoise lưu ý rằng việc khai thác hai lỗ hổng này có thể dẫn đến việc chiếm quyền điều khiển hoàn toàn camera, nhiễm bot, chuyển sang các thiết bị khác được kết nối trên cùng một mạng hoặc làm gián đoạn nguồn cấp dữ liệu video.

Công ty an ninh mạng báo cáo rằng trong khi nguồn gốc của hoạt động ban đầu im lặng ngay sau các cuộc tấn công honeypot, một nỗ lực riêng biệt sử dụng wget để tải xuống một tập lệnh shell nhằm truy cập shell ngược đã được phát hiện vào tháng 6.

Sau khi phát hiện ra CVE-2024-8956 và CVE-2024-8957, GreyNoise đã làm việc với VulnCheck để đưa ra những thông tin có trách nhiệm cho các nhà cung cấp bị ảnh hưởng.

Các thiết bị bị ảnh hưởng bởi hai lỗ hổng này là camera hỗ trợ NDI dựa trên Hisilicon Hi3516A V600 SoC V60, V61 và V63, chạy phiên bản phần mềm camera VHD PTZ cũ hơn 6.3.40; bao gồm một số mẫu từ PTZOptics, camera Multicam Systems SAS và thiết bị SMTAV Corporation.

PTZOptics đã phát hành bản cập nhật bảo mật vào ngày 17 tháng 9, nhưng các mẫu như PT20X-NDI-G2 và PT12X-NDI-G2 không nhận được bản cập nhật chương trình cơ sở do đã hết vòng đời.

Sau đó, GreyNoise phát hiện ra rằng hai mẫu mới hơn là PT20X-SE-NDI-G3 và PT30X-SE-NDI-G3, cũng không nhận được bản cập nhật và cũng bị ảnh hưởng.

PTZOptics đã được thông báo về phạm vi mở rộng thông qua VulnCheck vào ngày 25 tháng 10, nhưng tính đến thời điểm viết bài, vẫn chưa có bản vá nào cho các mô hình này được phát hành. GreyNoise chia sẻ với BleepingComputer rằng những lỗi này có thể ảnh hưởng đến nhiều mẫu máy ảnh khác nhau.

Tuy nhiên, người dùng nên kiểm tra với nhà cung cấp thiết bị của mình để xem bản vá cho CVE-2024-8956 và CVE-2024-8957 đã được đưa vào bản cập nhật chương trình cơ sở mới nhất có sẵn cho thiết bị của họ hay chưa.

Nguồn: www.bleepingcomputer.com

scrolltop