Υπάρχει μια ευπάθεια παράκαμψης ελέγχου ταυτότητας που εκμεταλλεύονται ενεργά από τους χάκερ σε εκτεθειμένες συσκευές TBK DVR (ψηφιακές συσκευές εγγραφής βίντεο) η οποία δεν έχει ακόμη επιδιορθωθεί.
Δείτε επίσης: Οι Gallium hackers χρησιμοποιούν Linux παραλλαγή του PingPull RAT σε επιθέσεις κυβερνοκατασκοπείας
Τα DVR είναι σημαντικά στα συστήματα επιτήρησης ασφαλείας, καθώς καταγράφουν και αποθηκεύουν βίντεο που παράγονται από κάμερες. Ο ιστότοπος της TBK Vision αναφέρει ότι αναπτύσσει προϊόντα για τράπεζες, κυβερνητικούς οργανισμούς, τη βιομηχανία λιανικής και άλλους τομείς.
Οι διακομιστές DVR χρησιμοποιούνται για την αποθήκευση ευαίσθητου υλικού ασφαλείας και συνήθως τοποθετούνται σε εσωτερικά δίκτυα, προκειμένου να αποτραπεί η μη εξουσιοδοτημένη πρόσβαση στο εγγεγραμμένο βίντεο. Δυστυχώς, αυτό καθιστά τα συστήματα ευάλωτα σε απειλές από επιτήδειους που θα μπορούσαν να εκμεταλλευτούν την κατάσταση για να αποκτήσουν αρχική πρόσβαση στα δίκτυα των εταιρειών και να κλέψουν δεδομένα.
Η Fortinet αναφέρει ότι πρόσφατα παρατηρήθηκε αύξηση προσπαθειών χάκερ να εισβάλλουν σε συσκευές TBK DVR. Οι κακόβουλοι παράγοντες εκμεταλλεύονται μια δημόσια διαθέσιμη αδυναμία των διακομιστών, που είχε γίνει γνωστή μέσω PoC.
Δείτε ακόμα: Hackers παραβιάζουν δίκτυα χρησιμοποιώντας δεδομένα σε εταιρικά routers
Η ευπάθεια με κωδική ονομασία CVE-2018-9995 έχει σημαντικό βαθμό επικινδυνότητας (CVSS v3: 9.8) και επιτρέπει σε εισβολείς να παρακάμψουν τον έλεγχο ταυτότητας σε μια συσκευή. Αυτό δίνει σε εισβολείς τη δυνατότητα να αποκτήσουν πρόσβαση στο δίκτυο στο οποίο είναι συνδεμένη η συσκευή.
Το exploit χρησιμοποιεί ένα κακόβουλα δημιουργημένο cookie HTTP, με το οποίο οι ευάλωτες συσκευές TBK DVR αποκτούν διαπιστευτήρια διαχειριστή σε μορφή δεδομένων JSON.
Τα μοντέλα TBK DVR4104 και TBK DVR4216 επηρεάζονται από μια ευπάθεια. Αυτά τα μοντέλα πωλούνται με διάφορα ονόματα, όπως Novo, CeNova, QSee, Pulnix, XVR 5 σε 1, Securus, Night Owl, DVR Login, HVR Login και MDVR.
Το Fortinet αναφέρει ότι από τον Απρίλιο του 2023 έχουν πραγματοποιηθεί πάνω από 50.000 επιθέσεις εκμετάλλευσης των συσκευών TBK DVR χρησιμοποιώντας αυτήν την ευπάθεια.
Δείτε επίσης: Lazarus hackers: Σύνδεση με επίθεση σε 3CX και στόχευση χρηστών Linux με fake προσφορές εργασίας
Δυστυχώς, η Fortinet δεν γνωρίζει κάποια ενημέρωση ασφαλείας για τη διεύθυνση CVE-2018-9995. Για να αποφύγουμε μη εξουσιοδοτημένη πρόσβαση στα ευαίσθητα συστήματα επιτήρησης, προτείνεται να αντικατασταθούν με νέα μοντέλα που να υποστηρίζονται ή να απομονωθούν από το διαδίκτυο.
