Неисправленная уязвимость 5-тилетней давности активно используется для взлома видеокамер банков

Специалисты FortiGard Labs компании Fortinet предупреждают , что хакеры активно используют неисправленную уязвимость обхода аутентификации 2018 года в незащищенных устройствах TBK DVR (digital video recording).

Видеорегистраторы являются неотъемлемой частью систем видеонаблюдения, так как они записывают и хранят видео с камер. В нашем случае продукты TBK Vision используются в банках, государственных организациях, компаниях розничной торговли и т. д.

Поскольку серверы DVR используются для хранения конфиденциальных видеозаписей, они обычно располагаются во внутренних сетях, чтобы предотвратить несанкционированный доступ к записанному видео. К сожалению, это делает их привлекательными для злоумышленников, которые могут использовать серверы для первоначального доступа к корпоративным сетям и кражи данных.

Эксперты Fortinet в последнее время наблюдают всплеск попыток взлома устройств TBK DVR, при этом киберпреступники используют общедоступный PoC-эксплойт для обнаружения уязвимости на серверах.

Всплеск эксплуатации CVE-2018-9995

Критическая уязвимость CVE-2018-9995 (CVSS: 9.8) позволяет злоумышленникам обходить аутентификацию на устройстве и получать доступ к уязвимой сети.

Эксплойт использует специально созданный cookie-файл HTTP, на который уязвимые устройства TBK DVR отвечают учетными данными администратора в виде данных JSON, что в конечном итоге позволит хакеру с административными привилегиями получить доступ к видеопотокам с камер.

Уязвимость затрагивает TBK DVR4104 и TBK DVR4216, а также ребрендинг этих моделей, продаваемых под брендами Novo, CeNova, QSee, Pulnix, XVR 5 в 1, Securus, Night OWL, DVR Login, HVR Login и MDVR.

По данным Fortinet, по состоянию на апрель 2023 года было предпринято более 50 000 попыток взлома устройств TBK DVR с использованием этой уязвимости. Fortinet не известно об обновлении безопасности для устранения CVE-2018-9995, поэтому рекомендуется заменить уязвимые системы наблюдения новыми и активно поддерживаемыми моделями или изолировать их от Интернета, чтобы предотвратить несанкционированный доступ.

Также есть другая уязвимость, у которой наблюдается рост эксплуатации. Критическая RCE-уязвимость CVE-2016-20016 (CVSS: 9.8) затрагивает цифровые видеорегистраторы MVPower TV-7104HE и TV-7108HE и позволяет неавторизованному злоумышленнику выполнять команды, используя вредоносные HTTP-запросы.

Статистика эксплуатации CVE-2016-20016

Эта уязвимость активно эксплуатируется с 2017 года, но недавно Fortinet заметила признаки роста вредоносной активности. В этом случае производитель также не выпустил исправление уязвимости.