Hackers estão explorando ativamente uma vulnerabilidade de bypass de autenticação não corrigida de 2018 em dispositivos de gravação de vídeo digital (DVR) TBK expostos.
DVRs são uma parte integrante dos sistemas de vigilância de segurança, pois gravam e armazenam vídeos gravados por câmeras.
O site da TBK Vision afirma que seus produtos são implantados em bancos, organizações governamentais, indústria de varejo e muito mais.
Como esses servidores DVR são usados para armazenar imagens sensíveis de segurança, geralmente estão localizados em redes internas para evitar acesso não autorizado aos vídeos gravados.
Infelizmente, isso os torna atraentes para atores de ameaças que podem explorá-los para obter acesso inicial às redes corporativas e roubar dados.
O FortiGard Labs da Fortinet relata um aumento nas tentativas de hacking em dispositivos TBK DVR recentemente, com os atores de ameaças usando um exploit de prova de conceito publicamente disponível (PoC) para atacar uma vulnerabilidade nos servidores.
A vulnerabilidade é uma falha crítica (CVSS v3: 9,8), rastreada como
CVE-2018-9995
, que permite que invasores ignorem a autenticação no dispositivo e obtenham acesso à rede afetada.
O exploit usa um cookie HTTP maliciosamente criado, ao qual dispositivos TBK DVR vulneráveis respondem com credenciais de administrador na forma de dados JSON.
"Um invasor remoto pode ser capaz de explorar essa falha para ignorar a autenticação e obter privilégios administrativos, levando eventualmente ao acesso às imagens das câmeras", diz um alerta da Fortinet.
A vulnerabilidade afeta os modelos TBK DVR4104 e TBK DVR4216 e rebrandings desses modelos vendidos sob as marcas Novo, CeNova, QSee, Pulnix, XVR 5 em 1, Securus, Night OWL, DVR Login, HVR Login e MDVR.
De acordo com a Fortinet, a partir de abril de 2023, houve mais de 50.000 tentativas de explorar dispositivos TBK DVR usando essa falha.
"Com dezenas de milhares de TBK DVRs disponíveis sob marcas diferentes, código PoC publicamente disponível e uma exploração fácil, essa vulnerabilidade é um alvo fácil para os atacantes", explica a Fortinet.
"O recente aumento nas detecções IPS mostra que dispositivos de câmeras de rede continuam a ser um alvo popular para os atacantes." Infelizmente, a Fortinet não tem conhecimento de uma atualização de segurança para resolver o
CVE-2018-9995
.
Portanto, é aconselhável substituir os sistemas de vigilância vulneráveis por modelos novos e ativamente suportados ou isolá-los da internet para evitar acesso não autorizado.
Outra falha antiga que está passando por um "surto" de exploração é o
CVE-2016-20016
(CVSS v3: 9,8, "crítico"), uma vulnerabilidade de execução remota de código que afeta os DVRs MVPower TV-7104HE e TV-7108HE, permitindo que os invasores executem comandos não autenticados usando solicitações HTTP maliciosas.
Essa falha está sendo explorada ativamente desde 2017, mas a Fortinet recentemente viu sinais de atividade maliciosa crescente aproveitando-a.
Neste caso também, o fornecedor não forneceu um patch para corrigir a vulnerabilidade.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...