Een security expert uit Argentinië heeft licht werpen op een nieuwe hacking tool genaamd GetDvR dat de CVE-2018-9995 kwetsbaarheid tegen ivd apparaten uitbuit. Het is in staat rekening te houden met de geloofsbrieven van de DVR-apparaten, waardoor de toegang tot apparaten en hun video-feeds te extraheren.
De CVE-2018-9995 Vulnerability en GetDvR Infiltrate ivd Devices
De Argentijnse expert Ezequiel Fernandez is gebleken dat een proof-of-concept hacking tool genaamd GetDvR toegang ivd apparaten door gebruik te maken van een gevaarlijke kwetsbaarheid. Hij was verantwoordelijk voor de feitelijke ontdekking van de zwakte en deze tool dient als bewijs van het belang. Het advies van de kwetsbaarheid leest de volgende:
TBK DVR4104 en DVR4216 apparaten kunnen externe aanvallers bypass authenticatie via een “Koekje: uid = admin” hoofd, zoals aangetoond door een device.rsp?opt = user&cmd = lijst verzoek om referenties biedt binnen JSON data in een reactie.
Dit betekent dat aanvallers de gedetecteerde DVR inrichtingen zwakheid gebruiken met behulp van een ontworpen koekje header. Als gevolg van het apparaat zal reageren met beheerdersrechten van het apparaat. Dit zou mogelijk toestaan hackers om deze procedure te automatiseren met een script. Het eerste rapport blijkt dat de CVE-2018-9995 kwetsbaarheid alleen betroffen toestellen geproduceerd door TBK. Maar in een latere update van de lijst is bijgewerkt met andere leveranciers, velen van hen werden gevonden om gewoon bieden rebranded versies van het TBK apparaten. Het bleek leveranciers die getroffen aanbieden zijn de volgende:
- nieuw
- Genua
- qZie
- Pulnix
- XVR 5 in 1
- makkelijk
- Nachtuil
- DVR Inloggen
- HVR Inloggen
- MDVR Inloggen
Uit een analyse blijkt dat op het moment dat duizenden apparaten worden beïnvloed. De onderzoekers gebruikten de specialist zoekmachine Shodan naar de mogelijke slachtoffers te vragen. De deskundige gepubliceerde screenshots laten zien hoe hij erin slaagde om toegang te krijgen tot het onveilige videos. Niet alleen hij in staat om toegang tot de instellingen, maar ook de live video feeds was.
Tot nu toe kwaadwillig gebruik van de GetDvR gereedschap is niet gedetecteerd. De security community is op grote schaal op de hoogte van het probleem en de verwachting is dat de hardware-leveranciers de apparaten zal patchen. Er is een kans van een massale aanval die kan volgen, net als in de afgelopen jaren is er een zeer grote toename van het aantal van het ivd bots geweest. Zij gebruiken kwetsbaarheden zoals deze en geautomatiseerde scripts om zoveel doelen mogelijk besmetten.
Van de belangrijkste zorgen rondom GetDvR en de bijbehorende CVE-2018-9995 kwetsbaarheid is het feit dat er veel “wit label” en omgedoopt versies van de DVR ivd apparatuur door TBK. Veel merken en online verkopers reclame voor de apparaten met verschillende namen en voor sommige gebruikers kan het moeilijk zijn om ze bij te werken.
Op dit moment kunnen systeembeheerders basisstappen uit te voeren om de netwerken te verdedigen. Het voorbeeld code wordt een mock user agent met de gespelde identifiers “Morzilla” “Pinux x86_128”. Als de hackers implementeren op die manier dan een eenvoudige firewall regel kan de loginpogingen blokkeren.