Çok sayıda dijital Video Kaydedici (DVR) cihazında kritik bir güvenlik açığı tespit edildi408.000’den fazla üniteyi potansiyel siber saldırılara açık hale getirdi.
Öncelikle TVT DVR TD-2104TS-CL, TD-2108TS-HP, Provision-ISR DVR SH-4050A5-5L(MM) ve AVISION DVR AV108T gibi modelleri etkileyen bu kusur, cihazların web sunucularındaki yetersiz erişim kontrolleri nedeniyle hassas cihaz bilgilerine yetkisiz erişime olanak tanıyor.
CWE-200: Bilgi Açığa Çıkarma kategorisi altında sınıflandırılan güvenlik açığı, belirli bir uç nokta (/queryDevInfo) aracılığıyla istismar edilebiliyor.
Netsecfish’in raporuna göre, bu uç noktaya uygun kimlik doğrulaması olmadan erişilebiliyor ve donanım ve yazılım sürümleri, seri numaraları ve ağ yapılandırmaları da dahil olmak üzere ayrıntılı cihaz bilgileri ortaya çıkabiliyor.
Etkilenen Cihazlar ve Yazılım Sürümleri
Güvenlik açığı çok çeşitli DVR cihazlarını etkiliyor, özellikle aşağıdaki modeller ve yazılım sürümleri özellikle riskli:
Donanım Modelleri:
- TVT DVR TD-2104TS-CL
- TVT DVR TD-2108TS-HP
- Tedarik-ISR DVR SH-4050A5-5L(MM)
- GÖRÜNTÜ DVR AV108
Yazılım Sürümleri:
- 1.3.4.22966B181219.D00.U1 (4A21S)
- 1.3.4.24513B190218.D00.U1(8A21S)
- 1.3.3.20657B180918.D06.U2 (4A41T)
- 1.3.4.24879B190222.D00.U2(8A21S)
- 1.3.4.22966B181219.D14.U1(8A41T)
- 1.3.4.22966B181219.D44.U1 (16A82T)
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide
Provision-ISR, sorunun TVT ile iş birliği sonucu ortaya çıktığını belirterek sorunu kabul etti. Şirket şu anda güvenlik açığını gidermek için azaltma stratejileri üzerinde çalışıyor.
Kullanım ve Azaltma
Bu güvenlik açığından yararlanmak nispeten basittir. Saldırganlar, güvenlik açığı bulunan uç noktaya hazırlanmış bir POST isteği göndererek hassas bilgileri alabilir.
Örnek bir exploit komutu şu şekildedir:
bash
curl -X POST "http:///queryDevInfo" \
-H "Accept-Language: en-US,en;q=0.9" \
-H "Accept-Encoding: gzip, deflate" \
-H "Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8" \
-H "Upgrade-Insecure-Requests: 1" \
-H "Connection: keep-alive" \
-H "User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS like Mac OS X) AppleWebKit (KHTML, like Gecko) Version Mobile Safari" \
-H "Content-Length: 103" \
-d ' '
Güvenlik uzmanları, etkilenen cihaz kullanıcılarına DVR’lara ağ erişimini kısıtlamalarını, mevcut yamaları uygulamalarını ve olağandışı etkinlikleri izlemelerini tavsiye ediyor. Üreticilerin bu güvenlik açıklarını gideren aygıt yazılımı güncellemelerini derhal yayınlamaları isteniyor.
Dijital ortam geliştikçe, IoT cihazları için güçlü güvenlik önlemlerinin sağlanması önemini korumaktadır.
Bu olay, üreticilerin ürün tasarımlarında güvenliğe öncelik vermeleri ve kullanıcıların olası güvenlik açıklarına karşı tetikte olmaları gerektiğinin kritik önemini vurguluyor.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access