ผู้ไม่ประสงค์ดีพยายามใช้ประโยชน์จากช่องโหว่ Zero-Day สองรายการในกล้องแพน-ทิลต์-ซูม (PTZ) ของ PTZOptics ซึ่งใช้สำหรับการถ่ายทอดสดในอุตสาหกรรม การแพทย์ การประชุมทางธุรกิจ รัฐบาล และในศาล
ในเดือนเมษายน 2024 GreyNoise ได้ค้นพบช่องโหว่ CVE-2024-8956 และ CVE-2024-8957 หลังจากเครื่องมือตรวจจับภัยคุกคามที่ใช้ AI ชื่อ Sift พบกิจกรรมที่ผิดปกติบนเครือข่าย honeypot ของพวกเขา ซึ่งไม่ตรงกับภัยคุกคามที่รู้จัก
เมื่อทำการตรวจสอบการแจ้งเตือน นักวิจัยของ GreyNoise ได้พบการพยายามเจาะระบบที่มุ่งเป้าไปที่ API แบบ CGI และ ‘ntp_client’ ของกล้องเพื่อพยายามฉีดคำสั่ง สำหรับข้อมูลเชิงลึกทางเทคนิคเพิ่มเติม นักวิจัยของ GreyNoise ชื่อ Konstantin Lazarev ได้เผยแพร่การวิเคราะห์เชิงลึกของช่องโหว่ทั้งสองนี้
CVE-2024-8956 เป็นปัญหาด้านการยืนยันตัวตนที่ไม่รัดกุมในเว็บเซิร์ฟเวอร์ ‘lighthttpd’ ของกล้อง ซึ่งทำให้ผู้ใช้ที่ไม่ได้รับอนุญาตสามารถเข้าถึง API แบบ CGI ได้โดยไม่ต้องใช้ส่วนหัวของการอนุญาต ทำให้สามารถดูชื่อผู้ใช้ แฮชรหัสผ่านแบบ MD5 และการตั้งค่าเครือข่ายได้
CVE-2024-8957 เกิดจากการตรวจสอบความปลอดภัยของข้อมูลนำเข้าในฟิลด์ ‘ntp.addr’ ที่ไม่เพียงพอซึ่งประมวลผลโดยไบนารี ‘ntp_client’ ทำให้ผู้โจมตีสามารถใช้ข้อมูลพิเศษที่ออกแบบมาเฉพาะเพื่อแทรกคำสั่งเพื่อเรียกใช้งานโค้ดจากระยะไกล
GreyNoise ระบุว่าการใช้ประโยชน์จากช่องโหว่สองช่องนี้อาจนำไปสู่การเข้าควบคุมกล้องทั้งหมด ติดตั้งบอทเพื่อการโจมตีอื่น ๆ โจมตีอุปกรณ์ที่เชื่อมต่อเครือข่ายเดียวกัน หรือตัดการส่งสัญญาณวิดีโอได้ บริษัทไซเบอร์ซีเคียวริตี้รายงานว่า แม้ที่มาของกิจกรรมครั้งแรกเงียบไปหลังการโจมตี honeypot แต่ก็พบความพยายามใหม่ในเดือนมิถุนายนซึ่งใช้ wget เพื่อดาวน์โหลดสคริปต์เชลล์สำหรับการเข้าถึงย้อนกลับ
สถานะการเปิดเผยและการแก้ไขปัญหา
หลังจากค้นพบช่องโหว่ CVE-2024-8956 และ CVE-2024-8957 GreyNoise ได้ทำงานร่วมกับ VulnCheck เพื่อเปิดเผยข้อมูลอย่างมีความรับผิดชอบต่อผู้ผลิตที่ได้รับผลกระทบ อุปกรณ์ที่ได้รับผลกระทบจากช่องโหว่สองจุดนี้คือกล้องที่รองรับ NDI ซึ่งใช้ชิป Hisilicon Hi3516A V600 SoC รุ่น V60, V61, และ V63 ที่รันเฟิร์มแวร์กล้อง VHD PTZ ในเวอร์ชันเก่ากว่า 6.3.40
กล้องเหล่านี้รวมถึงหลายรุ่นจาก PTZOptics กล้อง Multicam Systems SAS และอุปกรณ์จาก SMTAV Corporation
PTZOptics ได้ปล่อยอัปเดตความปลอดภัยเมื่อวันที่ 17 กันยายน แต่บางรุ่น เช่น PT20X-NDI-G2 และ PT12X-NDI-G2 ไม่ได้รับการอัปเดตเฟิร์มแวร์เนื่องจากเป็นรุ่นที่ถึงกำหนดสิ้นอายุการใช้งานแล้ว
ต่อมา GreyNoise พบว่ารุ่นใหม่กว่าอย่าง PT20X-SE-NDI-G3 และ PT30X-SE-NDI-G3 ที่ยังไม่ได้รับแพตช์ก็ได้รับผลกระทบเช่นกัน PTZOptics ได้รับแจ้งเกี่ยวกับขอบเขตที่ขยายขึ้นนี้ผ่าน VulnCheck เมื่อวันที่ 25 ตุลาคม แต่ยังไม่มีการปล่อยการแก้ไขสำหรับรุ่นเหล่านี้จนถึงขณะนี้
GreyNoise ให้ข้อมูลกับ BleepingComputer ว่าช่องโหว่เหล่านี้น่าจะมีผลกระทบต่อกล้องหลายรุ่น โดยอาจมีสาเหตุมาจาก SDK ที่ผู้ผลิต ValueHD หรือ VHD Corporation ใช้
ดังนั้น ผู้ใช้ควรตรวจสอบกับผู้จำหน่ายอุปกรณ์ของตนว่ามีการรวมการแก้ไขสำหรับ CVE-2024-8956 และ CVE-2024-8957 ไว้ในเฟิร์มแวร์ล่าสุดสำหรับอุปกรณ์ของตนหรือไม่
Ref : .bleepingcomputer.com
ไม่มีความคิดเห็น:
แสดงความคิดเห็น