Hackers estão tentando explorar duas vulnerabilidades zero-day nas câmeras de transmissão ao vivo com pan-tilt-zoom (PTZ) da PTZOptics utilizadas em ambientes industriais, de saúde, conferências empresariais, governamentais e tribunais.
Em abril de 2024, a GreyNoise descobriu as
CVE-2024-8956
e
CVE-2024-8957
após sua ferramenta de detecção de ameaças alimentada por IA, chamada Sift, detectar atividades incomuns em sua rede honeypot que não correspondiam a nenhuma ameaça conhecida.
Ao examinar o alerta, os pesquisadores da GreyNoise descobriram uma tentativa de exploração que visava a API baseada em CGI da câmera e o 'ntp_client' embutido, buscando alcançar a injeção de comando.
Um aprofundamento técnico pelo pesquisador da GreyNoise, Konstantin Lazarev, fornece mais informações sobre as duas falhas.
A
CVE-2024-8956
é um problema de autenticação fraca no servidor web 'lighthttpd' da câmera, permitindo que usuários não autorizados acessem a API CGI sem um cabeçalho de autorização, o que expõe nomes de usuários, hashes de senha MD5 e configurações de rede.
A
CVE-2024-8957
é causada por saneamento insuficiente de entrada no campo 'ntp.addr' processado pelo binário 'ntp_client', permitindo que os atacantes usem um payload especialmente elaborado para inserir comandos para execução de código remoto.
A Greynoise observa que a exploração dessas duas falhas pode levar à completa tomada de controle da câmera, infecção por bots, pivoteamento para outros dispositivos conectados na mesma rede ou interrupção dos feeds de vídeo.
A firma de cibersegurança relata que, embora a fonte da atividade inicial tenha ficado em silêncio logo após os ataques ao honeypot, uma tentativa separada usando wget para baixar um script shell para acesso de shell reverso foi observada em junho.
Após descobrir a
CVE-2024-8956
e a
CVE-2024-8957
, a GreyNoise trabalhou com a VulnCheck para uma divulgação responsável aos fornecedores afetados.
Os dispositivos impactados pelas duas falhas são câmeras habilitadas para NDI baseadas no Hisilicon Hi3516A V600 SoC V60, V61 e V63, que executam versões do firmware da câmera VHD anteriores a 6.3.40.
Isso inclui vários modelos da PTZOptics, câmeras da Multicam Systems SAS e dispositivos da SMTAV Corporation.
A PTZOptics lançou uma atualização de segurança em 17 de setembro, mas modelos como o PT20X-NDI-G2 e o PT12X-NDI-G2 não receberam uma atualização de firmware por terem alcançado o fim da vida útil.
Posteriormente, a GreyNoise descobriu que pelo menos dois modelos mais novos, PT20X-SE-NDI-G3 e PT30X-SE-NDI-G3, que também não receberam um patch, foram impactados.
A PTZOptics foi notificada sobre o escopo expandido através da VulnCheck em 25 de outubro, mas até o momento da redação deste texto, nenhum conserto para estes modelos foi lançado.
A GreyNoise informou que as falhas provavelmente afetam uma ampla gama de modelos de câmeras.
"Nós (fortemente) acreditamos que uma gama mais ampla de dispositivos é afetada, o que potencialmente indica que o verdadeiro problema está dentro do SDK que o fabricante (ValueHD / VHD Corporation) usa," disse a GreyNoise.
Sendo assim, os usuários devem verificar com o fornecedor do seu dispositivo se as correções para
CVE-2024-8956
e
CVE-2024-8957
foram incorporadas na última atualização de firmware disponível para seus dispositivos.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...