AVTech CCTV الصانع. لاكسون
ان AVTech تم التعرف على استغلال الجهاز في أكتوبر 2016 بعد استشاري صادر عن مختبر تحليل وبحوث تقييم الأمان. حدد الاستغلال 14 نقطة ضعف في DVR و NVR وكاميرا IP وما شابهها من الأجهزة بالإضافة إلى جميع البرامج الثابتة للشركة المصنعة CCTV. تتضمن هذه الثغرات الأمنية: تخزين نص عادي لكلمة مرور إدارية ، وحماية CSRF مفقودة ، وكشف معلومات غير مصدق عليها ، و SSRF غير مصدق في أجهزة DVR ، وإدخال أمر غير مصدق في أجهزة DVR ، وتجاوز المصادقة رقم 1 و 2 ، وتنزيل ملف غير مصدق من جذر الويب ، وتجاوز اختبار captcha رقم 1 & 2 ، و HTTPS المستخدمة بدون التحقق من الشهادة بالإضافة إلى ثلاثة أنواع من ثغرات إدخال الأوامر المصادق عليها.
يعمل مبرمج البرامج الضارة الخبير ، EliteLands ، على تصميم شبكة الروبوتات التي تستفيد من نقاط الضعف هذه لتنفيذ هجمات DDoS ، وسرقة المعلومات ، والبريد العشوائي ، ومنح نفسه الوصول إلى الجهاز المهاجم. يدعي المخترق أنه لا ينوي استخدام هذه الروبوتات لتنفيذ مثل هذه الهجمات بشكل خاص ولكن لتحذير الناس من القدرة التي تشكلها مثل هذه الثغرات الأمنية. تمامًا مثل الروبوتات Hide ‘N Seek الأخيرة التي عملت على اختراق أجهزة AVTech ، تهدف هذه الروبوتات الجديدة المسماة' Death 'إلى فعل الشيء نفسه باستخدام كود أكثر مصقولًا. تم الكشف عن نوايا EliteLands من قبل الباحث في NewSky Security ، Ankit Anubhav ، الذي كشف لـ Bleeping Computer أن EliteLands قالت ، 'إن الروبوتات الروبوتية لم تهاجم أي شيء رئيسي حتى الآن ولكني أعلم أنها ستفعل. كان غرض Death botnet أصليًا فقط ddos لكن لدي خطة أكبر عليه قريبًا. أنا لا أستخدمها حقًا للهجمات فقط لتوعية العملاء بالقوة التي تتمتع بها '.
اعتبارًا من مارس 2017 ، تقدمت AVTech للعمل مع SEARCH-Lab لتحسين أنظمة الأمان على أجهزتهم. تم إرسال تحديثات البرامج الثابتة لتصحيح بعض المشكلات ولكن لا تزال هناك العديد من الثغرات الأمنية. تعمل Death Botnet على استغلال الثغرات الأمنية المتبقية للوصول إلى شبكة الدوائر التلفزيونية المغلقة الخاصة بشركة AVTech وأجهزة إنترنت الأشياء التابعة لها ، مما يعرض مستخدمي منتجات العلامة التجارية لمخاطر عالية. الثغرة الأمنية الخاصة التي تجعل كل هذا ممكنًا هي ثغرة إدخال الأوامر في الأجهزة ، مما يجعلها تقرأ كلمات المرور كأمر shell. وأوضح أنوبهاف أن EliteLands تستخدم حسابات الناسخ لتنفيذ الحمولة على الأجهزة وإصابتها ، ووفقًا له ، فإن أكثر من 130 ألف جهاز AVTech كانت عرضة للاستغلال سابقًا ، ولا يزال من الممكن اختراق 1200 جهاز باستخدام هذه الآلية.
في الشهر الماضي ، خرجت AVTech بأمان نشرة تحذير المستخدمين من مخاطر هذه الهجمات والتوصية بأن يقوم المستخدمون بتغيير كلمات المرور. ومع ذلك ، هذا ليس حلا. عملت تحديثات البرامج الثابتة السابقة من الشركة على تقليل عدد الثغرات الأمنية القابلة للاستغلال ولكن هناك حاجة إلى مزيد من هذه التحديثات للتخفيف تمامًا من المخاطر التي تشكلها.
