AVTech CCTV Fabricante. Lakson
A AVTech exploração de dispositivo foi reconhecida em outubro de 2016 após um consultivo lançado pelo Laboratório de Análise e Pesquisa de Avaliação de Segurança. A exploração delineou 14 vulnerabilidades em DVR, NVR, câmera IP e dispositivos semelhantes, bem como em todo o firmware do fabricante do CFTV. Essas vulnerabilidades incluem: armazenamento de texto simples de senha administrativa, proteção CSRF ausente, divulgação de informação não autenticada, SSRF não autenticado em dispositivos DVR, injeção de comando não autenticado em dispositivos DVR, bypass de autenticação nº 1 e 2, download de arquivo não autenticado da raiz da web, bypass de captcha de login nº 1 & 2 e HTTPS usado sem verificação de certificado, bem como três tipos de vulnerabilidades de injeção de comando autenticada.
Um codificador de malware especialista, EliteLands, está trabalhando no projeto de um botnet que capitaliza essas vulnerabilidades para realizar ataques DDoS, roubar informações, spam e conceder a si mesmo acesso ao dispositivo atacado. O hacker afirma que ele não tem a intenção de usar esse botnet para realizar tais ataques, mas para alertar as pessoas sobre a capacidade que essas vulnerabilidades representam. Assim como o recente botnet Hide ‘N Seek, que trabalhou para hackear dispositivos AVTech, este novo botnet chamado“ Death ”tem como objetivo fazer o mesmo com um código mais polido. As intenções do EliteLands foram reveladas pelo pesquisador da NewSky Security, Ankit Anubhav, que revelou ao Bleeping Computer que EliteLands disse: “O botnet Death ainda não atacou nada importante, mas sei que o fará. O objetivo do botnet Death era originalmente apenas para ddos, mas tenho um plano maior em breve. Eu realmente não o uso para ataques, apenas para conscientizar os clientes sobre o poder que ele tem. ”
Em março de 2017, a AVTech se apresentou para trabalhar com o SEARCH-Lab para melhorar os sistemas de segurança em seus dispositivos. As atualizações de firmware foram enviadas para corrigir alguns dos problemas, mas várias vulnerabilidades permanecem. Death Botnet trabalha para explorar as vulnerabilidades restantes para acessar a rede CCTV da AVTech e seus dispositivos IoT, colocando os usuários dos produtos da marca em alto risco. A vulnerabilidade particular que torna tudo isso possível é a vulnerabilidade de injeção de comando nos dispositivos, fazendo-os ler as senhas como um comando shell. Anubhav explicou que EliteLands usa contas de queimador para executar payload em dispositivos e infectá-los, e de acordo com ele, mais de 130.000 dispositivos AVTech eram vulneráveis a exploração anteriormente e 1200 desses dispositivos ainda podem ser hackeados usando este mecanismo.
No mês passado, a AVTech lançou um sistema de segurança boletim alertando os usuários sobre o risco desses ataques e recomendando que eles alterem as senhas. No entanto, esta não é uma solução. As atualizações de firmware anteriores da empresa trabalharam para reduzir o número de vulnerabilidades exploráveis, mas, além disso, essas atualizações são necessárias para mitigar totalmente o risco apresentado.
