Οι χάκερ εκμεταλλεύονται ενεργά μια ευπάθεια παράκαμψης ελέγχου ταυτότητας 2018 που δεν έχει επιδιορθωθεί σε εκτεθειμένες συσκευές TBK DVR (ψηφιακή εγγραφή βίντεο).
Τα DVR αποτελούν αναπόσπαστο μέρος των συστημάτων επιτήρησης ασφαλείας καθώς καταγράφουν και αποθηκεύουν βίντεο που έχουν καταγραφεί από κάμερες. Ο ιστότοπος της TBK Vision ισχυρίζεται ότι τα προϊόντα της αναπτύσσονται σε τράπεζες, κυβερνητικούς οργανισμούς, τη βιομηχανία λιανικής και πολλά άλλα.
Καθώς αυτοί οι διακομιστές DVR χρησιμοποιούνται για την αποθήκευση ευαίσθητου υλικού ασφαλείας, συνήθως βρίσκονται σε εσωτερικά δίκτυα για να αποτρέψουν τη μη εξουσιοδοτημένη πρόσβαση στο εγγεγραμμένο βίντεο. Δυστυχώς, αυτό τα καθιστά ελκυστικά για απειλές που μπορούν να τους εκμεταλλευτούν για αρχική πρόσβαση σε εταιρικά δίκτυα και για κλοπή δεδομένων.
Τα εργαστήρια FortiGard της Fortinet αναφέρουν ότι παρατηρείται αύξηση των προσπαθειών hacking σε συσκευές TBK DVR πρόσφατα, με τους παράγοντες απειλών να χρησιμοποιούν μια δημόσια διαθέσιμη proof of concept (PoC) εκμετάλλευση για τη στόχευση μιας ευπάθειας στους διακομιστές.
Η ευπάθεια είναι ένα κρίσιμο ελάττωμα (CVSS v3: 9.8), το οποίο παρακολουθείται ως CVE-2018-9995, το οποίο επιτρέπει στους εισβολείς να παρακάμψουν τον έλεγχο ταυτότητας στη συσκευή και να αποκτήσουν πρόσβαση στο επηρεαζόμενο δίκτυο.
Το exploit χρησιμοποιεί ένα κακόβουλα δημιουργημένο cookie HTTP, στο οποίο οι ευάλωτες συσκευές TBK DVR ανταποκρίνονται με διαπιστευτήρια διαχειριστή με τη μορφή δεδομένων JSON.
“Ένας απομακρυσμένος εισβολέας μπορεί να είναι σε θέση να εκμεταλλευτεί αυτό το ελάττωμα για να παρακάμψει τον έλεγχο ταυτότητας και να αποκτήσει δικαιώματα διαχειριστή, οδηγώντας τελικά σε πρόσβαση στις ροές βίντεο της κάμερας”, αναφέρει μιασυναγερμός επιδημίας από την Fortinet.
Η ευπάθεια επηρεάζει τα TBK DVR4104 και TBK DVR4216 και μετονομάζει αυτά τα μοντέλα που πωλούνται με τις επωνυμίες Novo, CeNova, QSee, Pulnix, XVR 5 σε 1, Securus, Night OWL, DVR Login, HVR Login και MDVR.