アルゼンチンのセキュリティ専門家が、IoTデバイスに対するCVE-2018-9995の脆弱性を悪用するGetDvRと呼ばれる新しいハッキングツールに光を当てました. DVRデバイスのアカウントクレデンシャルを抽出して、デバイスとそのビデオフィードにアクセスすることができます.
CVE-2018-9995の脆弱性とGetDvRがIoTデバイスに侵入
アルゼンチンの専門家であるエセキエルフェルナンデスは、概念実証ハッキングツールが GetDvR 危険な脆弱性を悪用してIoTデバイスにアクセスできる. 彼は弱点の実際の発見に責任があり、このツールはその重要性の証拠として機能します. 脆弱性に関する勧告は次のとおりです。:
TBK DVR4104およびDVR4216デバイスを使用すると、リモートの攻撃者は、 “クッキー: uid = admin” ヘッダ, device.rspによって示されるように?opt = user&応答でJSONデータ内のクレデンシャルを提供するcmd=listリクエスト.
これは、攻撃者が細工されたCookieヘッダーを使用してDVRデバイスで検出された弱点を利用できることを意味します. その結果、デバイスはデバイスの管理者資格情報で応答します. これにより、コンピューターハッカーがスクリプトを使用してこの手順を自動化できる可能性があります. 最初のレポートは、CVE-2018-9995の脆弱性がによって製造されたデバイスにのみ影響を及ぼしたことを明らかにしています TBK. ただし、後の更新で、リストは他のベンダーで更新されました, それらの多くは、TBKデバイスのブランド変更されたバージョンを提供するだけであることがわかりました. 影響を受けるオファーを提供する明らかにされたベンダーは次のとおりです:
- Novo
- CeNova
- QSee
- プルニックス
- XVR 5 の 1
- Securus
- 夜更かしをする人
- DVRログイン
- HVRログイン
- MDVRログイン
分析によると、現時点では何千ものデバイスが影響を受けています. 研究者たちは、専門の検索エンジンShodanを使用して、被害者の可能性を調査しました。. 専門家は、安全でないビデオにアクセスする方法を示すスクリーンショットを公開しました. 彼は設定にアクセスできるだけでなく、ライブビデオフィードにもアクセスできました.
これまでのところ、GetDvRツールの悪意のある使用は検出されていません. セキュリティコミュニティはこの問題について広く投稿しており、ハードウェアベンダーがデバイスにパッチを適用することが期待されています. 続く可能性のある大規模な攻撃の可能性があります, 過去数年のように、IoTボットの数は非常に大幅に増加しています. できるだけ多くのターゲットに感染させるために、このような脆弱性と自動化されたスクリプトを使用します.
GetDvRおよび関連するCVE-2018-9995の脆弱性を取り巻く主な懸念事項は、多くの問題があるという事実です。 “白いラベル” TBKによるDVRIoT機器のブランド変更バージョン. 多くのブランドやオンライン販売者は、異なる名前を使用してデバイスを宣伝しており、一部のユーザーにとっては、それらを更新するのが難しい場合があります.
現在、システム管理者はネットワークを防御するための基本的な手順を実装できます. サンプルコードでは、スペルミスのある識別子を使用した模擬ユーザーエージェントを使用しています “モルジラ” “Pinux x86_128”. ハッカーがこのように実装した場合、単純なファイアウォールルールがログイン試行をブロックする可能性があります.