Beş yıl önce güvenlik araştırmacısı Fernandez Ezequiel, birçok dijital video kayıt cihazı (DVR) markasında bir güvenlik açığı (CVE-2018-9995) keşfetti ve bundan yararlanmak için bir araç yayınladı.
FortiGuard Labs, güvenlik açığından hâlâ vahşi ortamda yararlanıldığını söylüyor: Şirketin izinsiz giriş önleme sistemlerinde geçen ay 50.000’den fazla benzersiz yararlanma girişimi kaydedildi.
CVE-2018-9995 Hakkında
CVE-2018-9995, kötü amaçlarla oluşturulmuş bir HTTP tanımlama bilgisi yoluyla güvenlik açığı bulunan bir DVR cihazına gönderilen basit bir açıktan yararlanma ile tetiklenebilen bir kimlik doğrulama atlama güvenlik açığıdır. Cihaz, cihazın yönetici kimlik bilgilerini düz metin olarak (yani şifrelenmemiş) geri göndererek yanıt verir.
Saldırgan, elindeki bu kimlik bilgileriyle DVR cihazına erişebilir, cihazı ele geçirebilir ve bağlı kameranın canlı video yayınlarına erişebilir.
Güvenlik açığı, TBK Vision’ın DVR4104 ve DVR4216 cihazlarında bulundu.
“NIST NVD veri tabanına göre, TBK DVR4104 ve DVR4216 cihazları da Novo, CeNova, QSee, Pulnix, XVR 5 in 1, Securus, Night OWL, DVR Login, HVR Login ve MDVR gibi diğer markalar olarak yeniden markalandı ve satıldı. ” FortiGuard Labs işaret etti.
Potansiyel olarak kötüye kullanılabilir cihaz havuzu önemli olabilir.
“Farklı markalar altında bulunan on binlerce TBK DVR, halka açık PoC kodu ve istismar edilmesi kolay bir sistemle bu güvenlik açığını saldırganlar için kolay bir hedef haline getiriyor. IPS tespitlerindeki son artış, ağ kamerası cihazlarının saldırganlar için popüler bir hedef olmaya devam ettiğini gösteriyor” dedi.
“FortiGuard Labs, satıcı tarafından sağlanan herhangi bir yamadan haberdar değil ve kuruluşlara güvenlik açığı bulunan modeller için kurulu CCTV kamera sistemleri ve ilgili ekipman modellerini incelemelerini tavsiye ediyor.”
Kullanıcılar ayrıca DVR’larının yönetim arayüzüne erişimi sınırlayarak, yani erişimi yalnızca belirli IP adreslerinden mümkün kılarak cihazlarını koruyabilirler.
Fortinet ayrıca, MVPower dijital video kayıt cihazlarını etkileyen başka bir eski komut Enjeksiyon güvenlik açığından (CVE-2016-20016) yararlanma girişimlerinde bir ani artış fark etti.