Хакеры активно используют 0 - day аппаратную часть камер видеонаблюдения.

Преступники используя ботнеты Chalubo, FBot и Moobot атакуют незащищенные уязвимости в коммерческих видеорегистраторах LILIN.

Исследователи обнаружили, что в камерах видеонаблюдения производства тайваньской компании LILIN активно используются многочисленные уязвимости нулевого дня.

Компания, поставщик решений для IP-видео, был целью хакеров, угоняющих аппаратное обеспечение DVR компании. После взлома хакеры установили вредоносное ПО на устройства для запуска ботнетов Chalubo, FBot и Moobot.

По словам исследователей, атаки начались 30 августа. Компания была уведомлена 19 января об ошибках. А 14 февраля уязвимости были исправлены. Публичное раскрытие было в пятницу командой NetLab Qihoo 360. Доступна прошивка, которая исправляет ошибки, обнаруженные в 11 LILIN DVR и IP-камерах.

Jpg

Согласно техническому описанию атак, недостаток разбит на три части. Исследователи описывают это как «жестко закодированные учетные данные для входа в систему, уязвимости в / z / zbin / dvr_box, связанные с внедрением команд, и /z/zbin/net_html.cgi уязвимости, связанные с произвольным чтением файлов».

Добавленный «/ z / zbin / dvr_box» предоставляет веб-сервисы, и его веб-интерфейс / dvr / cmd и / cn / cmd имеют уязвимость, связанную с внедрением команд. Внедренные параметры: NTPUpdate, FTP и NTP ».

Что касается ботнетов, экземпляры ботов Chalubo были впервые обнаружены в августе. Вредоносная программа известна тем, что она нацелена на плохо защищенные устройства Интернета вещей (IoT). Fbot - это «саторисвязанный» ботнет известен тем, что он использует блочные системы DNS для распространения. По словам компании NetLab, Moobot - это новое семейство ботнетов на основе ботнета Mirai. Исследователи не предоставили подробностей о том, на что нацелены ботнеты, только то, что цифровые видеорегистраторы и IP-камеры LILIN были связаны с неопределенными кампаниями DDoS.

Развертывание патча необходимо поскольку исправление микропрограммы должно быть развернуто владельцами оборудования и не может быть распространено поставщиком, неясно, когда будет обновлено большинство уязвимого оборудования. Сообщество безопасности предупредило, что IoT представляет растущий риск для безопасности, главным образом, потому что многие устройства все еще используются, которые не могут быть легко обновлены для исправления ошибок безопасности.

Что касается специфики уязвимости LILIN DVR, то она связана с компьютерной программой DRV NTPDate.NTPDate - это программа, используемая для синхронизации даты и времени компьютеров путем запроса к серверу протокола NTP. По словам исследователей, программное обеспечение LILIN не отфильтровывает специальные символы одного из полей ValidateHostName и открывает злоумышленнику возможность запустить атаку с помощью команды. Подобные уязвимости встраивания существуют в настройках FTP программного обеспечения, которые в конечном итоге обеспечивают удаленный доступ к интерфейсу «/ dvr / cmd» через жестко заданные пароли учетных записей. CMD (или cmd.exe) известен как командная строка или интерпретатор командной строки, который дает пользователю карт-бланш с базовым программным обеспечением. «Конфигурацию устройства /zconf/service.xml можно получить с помощью жестко запрограммированного пароля учетной записи и произвольного чтения файла /z/zbin/net_html.cgi», - пишет исследователь. «Изменяя поле aerver параметров FTP или NTP в /zconf/service.xml, можно ввести команду backdoor».

Компания сообщила о новой исправленной версии (2.0b60_20200207) исправляет уязвимость.