导 读
黑客试图利用工业、医疗保健、商务会议、政府和法庭环境中使用的 PTZOptics 云台变焦 (PTZ) 实时流媒体摄像机中的两个0day漏洞。
2024 年 4 月,GreyNoise 的人工智能威胁检测工具 Sift 在其蜜罐网络上检测到与任何已知威胁都不匹配的异常活动,发现了 CVE-2024-8956 和 CVE-2024-8957。
在检查警报后,GreyNoise 研究人员发现了一个针对摄像机基于 CGI 的 API 和嵌入的“ntp_client”的漏洞攻击尝试,旨在实现命令注入。
GreyNoise 研究员 Konstantin Lazarev 通过技术深入研究提供了有关这两个缺陷的更多信息。
CVE-2024-8956 是摄像机“lighthttpd”网络服务器中的一个弱身份验证问题,允许未经授权的用户在没有授权标头的情况下访问 CGI API,从而暴露用户名、MD5 密码哈希和网络配置。
CVE-2024-8957 是由于“ntp_client”二进制文件处理的“ntp.addr”字段中的输入清理不足引起的,允许攻击者使用特制的有效载荷插入命令以进行远程代码执行。
Greynoise 指出,利用这两个缺陷可能会导致摄像头完全被接管、被机器人感染、转移到连接同一网络的其他设备或中断视频源。
该网络安全公司报告称,虽然初始活动的源头在蜜罐攻击后不久就消失了,但 6 月份观察到了使用 wget 下载 shell 脚本进行反向 shell 访问的单独尝试。
漏洞披露和修复状态
在发现CVE-2024-8956和CVE-2024-8957后,GreyNoise 与 VulnCheck 合作,向受影响的供应商进行负责任的披露。
GreyNoise 发现的攻击尝试,来源:GreyNoise
受这两个缺陷影响的设备是基于 Hi3516A V600 SoC V60、V61 和 V63 的支持 NDI 的摄像机,运行的 VHD PTZ 摄像机固件版本早于 6.3.40。
其中包括 PTZOptics、Multicam Systems SAS 摄像机和 SMTAV Corporation 设备的几种型号。
PTZOptics 于 9 月 17 日发布了安全更新,但 PT20X-NDI-G2 和 PT12X-NDI-G2 等型号由于已达到使用寿命而未获得固件更新。
后来,GreyNoise 发现至少有两款较新的型号 PT20X-SE-NDI-G3 和 PT30X-SE-NDI-G3 也受到了影响,这两款型号也没有收到补丁。
PTZOptics 于 10 月 25 日通过 VulnCheck 收到了有关扩大范围的通知,但截至撰写本文时尚未发布针对这些型号的修复程序。
GreyNoise 称,这些缺陷可能会影响多个摄像机型号:“我们相信有更广泛的设备受到影响,这可能表明真正的罪魁祸首在于制造商(ValueHD / VHD Corporation)使用的 SDK。”
参考博客文章:
GreyNoise Intelligence 借助人工智能发现直播摄像头中的0day漏洞
https://www.greynoise.io/blog/greynoise-intelligence-discovers-zero-day-vulnerabilities-in-live-streaming-cameras-with-the-help-of-ai
漏洞分析:
CVE-2024-8956、CVE-2024-8957:如何窃取 0 Day RCE(在 LLM 的帮助下)
https://www.labs.greynoise.io/grimoire/2024-10-31-sift-0-day-rce/
新闻链接:
https://www.bleepingcomputer.com/news/security/hackers-target-critical-zero-day-vulnerability-in-ptz-cameras/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):黑客瞄准 PTZ 摄像机中的关键零日漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论