En sikkerhedsekspert fra Argentina har kastet lys over en ny hacking værktøj kaldet GetDvR der udnytter CVE-2018-9995 sårbarhed over for IoT enheder. Det er i stand til at udtrække kontooplysninger af DVR-enheder og derved adgang til de enheder og deres video feeds.
Den CVE-2018-9995 Sårbarhed og GetDvR infiltrere IoT Devices
Den argentinske ekspert Ezequiel Fernandez afsløret, at en proof-of-concept hacking værktøj kaldet GetDvR kan få adgang til IoT-enheder ved at udnytte en farlig sårbarhed. Han var ansvarlig for den faktiske opdagelse af svaghed og dette værktøj tjener som dokumentation for det betydning. Det rådgivende for sårbarheden læser følgende:
TBK DVR4104 og DVR4216 enheder giver fjernangribere at omgå autentificering via en “Cookie: uid = admin” header, som påvist ved en device.rsp?opt = bruger&cmd = anmodningslisten der giver legitimationsoplysninger inden JSON data i en reaktion.
Det betyder, at hackere kan udnytte svaghed påvist i DVR-enheder under anvendelse af en udformet cookie header. Som et resultat enheden vil reagere med enhedens administratorlegitimationsoplysninger. Det vil kunne give hackere at automatisere denne procedure med et script. Den første rapport afslører, at CVE-2018-9995 sårbarheden kun påvirkede enheder fremstillet af TBK. Men i en senere opdatering af listen blev opdateret med andre leverandører, mange af dem viste sig at blot tilbyde rebranded versioner af TBK enheder. De afslørede leverandører, der tilbyder ramte er følgende:
- ny
- genua
- QSee
- Pulnix
- XVR 5 i 1
- let
- Nat ugle
- DVR Login
- HVR Login
- MDVR Login
En analyse viser, at tusindvis af enheder i øjeblikket er ramt. Forskerne brugte den specialiserede søgemaskine Shodan at forespørge de mulige ofre. Eksperten offentliggjorte screenshots viser, hvordan det lykkedes ham at få adgang til de usikre videoer. Ikke alene var han i stand til at få adgang til indstillingerne, men også de levende video feeds.
er ikke blevet opdaget Hidtil ondsindet brug af GetDvR værktøj. Sikkerheden samfund har lagt bredt om problemet, og det forventes, at de hardwareleverandører vil lappe enhederne. Der er en sandsynlighed for en masse angreb, der kan følge, som i de sidste par år har der været en meget stor stigning i antallet af IoT bots. De bruger sårbarheder som denne og automatiserede scripts for at inficere så mange mål som muligt.
Af de største bekymringer omkring GetDvR og den tilhørende CVE-2018-9995 sårbarheden er det faktum, at der er mange “hvid label” og rebranded versioner af DVR IoT-udstyr af TBK. Mange mærker og online sælgere annoncere de enheder ved hjælp af forskellige navne og for nogle brugere kan det være svært at opdatere dem.
I øjeblikket systemadministratorer kan implementere grundlæggende trin for at forsvare de netværk. Eksemplet kode bruger en mock brugeragent anvendelse af de fejlstavede identifikatorer “Morzilla” “Pinux x86_128”. Hvis hackere gennemføre det på denne måde, så en simpel firewall-regel kan blokere login-forsøg.