Gli hacker sfruttano un difetto senza patch da 5 anni nei dispositivi TBK DVR
Pubblicato da Angelo Domeneghini in Privacy - Sicurezza - BUG · 2 Maggio 2023
Tags: #dvr, #videosorveglianza
Tags: #dvr, #videosorveglianza
Gli hacker sfruttano un difetto senza patch da 5 anni nei dispositivi TBK DVR
CCTV
Gli hacker stanno attivamente sfruttando una vulnerabilità di bypass dell'autenticazione del 2018 senza patch nei dispositivi TBK DVR (registrazione video digitale) esposti.
I DVR sono parte integrante dei sistemi di sorveglianza di sicurezza in quanto registrano e archiviano i video registrati dalle telecamere. Il sito Web di TBK Vision afferma che i suoi prodotti sono distribuiti in banche, organizzazioni governative, settore della vendita al dettaglio e altro ancora.
Poiché questi server DVR vengono utilizzati per archiviare filmati di sicurezza sensibili, di solito si trovano su reti interne per impedire l'accesso non autorizzato al video registrato. Sfortunatamente, questo li rende attraenti per gli attori delle minacce che possono sfruttarli per l'accesso iniziale alle reti aziendali e per rubare dati.
I FortiGard Labs di Fortinet segnalano di aver visto di recente un aumento dei tentativi di hacking sui dispositivi TBK DVR, con gli attori delle minacce che utilizzano un exploit PoC (Proof of Concept) disponibile pubblicamente per colpire una vulnerabilità nei server.
La vulnerabilità è un difetto critico (CVSS v3: 9.8), tracciato come CVE-2018-9995, che consente agli aggressori di aggirare l'autenticazione sul dispositivo e ottenere l'accesso alla rete interessata.
L'exploit utilizza un cookie HTTP pericoloso, al quale i dispositivi TBK DVR vulnerabili rispondono con credenziali di amministratore sotto forma di dati JSON.
"Un utente malintenzionato remoto potrebbe essere in grado di sfruttare questo difetto per aggirare l'autenticazione e ottenere privilegi amministrativi, portando infine all'accesso ai feed video della telecamera", si legge in un avviso di epidemia di Fortinet.
La vulnerabilità interessa TBK DVR4104 e TBK DVR4216 e i rebrand di questi modelli venduti con i marchi Novo, CeNova, QSee, Pulnix, XVR 5 in 1, Securus, Night OWL, DVR Login, HVR Login e MDVR.
Secondo Fortinet, ad aprile 2023, ci sono stati oltre 50.000 tentativi di sfruttare i dispositivi TBK DVR utilizzando questo difetto.
"Con decine di migliaia di DVR TBK disponibili con marchi diversi, codice PoC pubblicamente disponibile e facile da sfruttare, questa vulnerabilità diventa un facile bersaglio per gli aggressori", spiega Fortinet.
"Il recente picco di rilevamenti IPS mostra che i dispositivi delle telecamere di rete rimangono un obiettivo popolare per gli aggressori".
Sfortunatamente, Fortinet non è a conoscenza di un aggiornamento di sicurezza per risolvere CVE-2018-9995.
Pertanto, si consiglia di sostituire i sistemi di sorveglianza vulnerabili con modelli nuovi e supportati attivamente o di isolarli da Internet per impedire l'accesso non autorizzato.
Un altro vecchio difetto che sta subendo un "focolaio" di sfruttamento è CVE-2016-20016 (CVSS v3: 9.8, "critico"), una vulnerabilità di esecuzione di codice in modalità remota che interessa i DVR MVPower TV-7104HE e TV-7108HE, consentendo agli aggressori di eseguire l'esecuzione di comandi non autenticati utilizzando richieste HTTP dannose.
Questo difetto è stato sfruttato attivamente in natura dal 2017, ma Fortinet ha recentemente visto segni di un aumento delle attività dannose che lo sfruttano. Anche in questo caso il vendor non ha fornito una patch per correggere la vulnerabilità.