CVE-2018-9995

2024-07-31

5.226.76.115

poland 

TBK Vision 

DVR4104 

GET /device.rsp?opt=user&cmd=list HTTP/1.0
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en) AppleWebKit/526.9 (KHTML, like Gecko) Version/4.0dp1 Safari/526.8
Host: ████████████
X-Forwarded-For: ████████████
Accept-Encoding: gzip, deflate
Accept: */*
██████████████████
Connection: close

CVE-2018-9995 - это критическая уязвимость обхода аутентификации, которая затрагивает устройства TBK DVR4104 и DVR4216, а также их ребрендированные версии, продаваемые под названиями Novo, CeNova, QSee, Pulnix, XVR 5 in 1, Securus, Night OWL, DVR Login, HVR Login и MDVR Login. Уязвимость возникает из-за ошибки при обработке специально созданного HTTP cookie. Когда злоумышленник отправляет такое cookie, устройство отвечает, отправляя обратно учетные данные администратора в открытом виде. Это позволяет злоумышленнику получить административный доступ к устройству, включая доступ к живым видеопотокам камер.
Уязвимость была обнаружена исследователем безопасности Фернандесом Эзекиелем и известна уже более пяти лет. Несмотря на свой возраст, она остается не устраненной, и существуют общедоступные доказательства концепции (PoC) эксплойтов, которые облегчают злоумышленникам эксплуатацию этой уязвимости. FortiGuard Labs сообщила о более чем 50 000 уникальных попытках эксплуатации в апреле 2023 года, что подчеркивает продолжающийся риск.
Критический характер этой уязвимости подчеркивается ее оценкой CVSS 9.8. Для ее эксплуатации не требуется аутентификация или взаимодействие с пользователем, что делает ее высоко доступной для удаленных злоумышленников. Широкое использование затронутых устройств DVR в различных секторах, включая банковский, розничный и государственный, еще больше усиливает потенциальное воздействие.
Учитывая отсутствие исправлений от поставщика, организации, использующие эти устройства, находятся под значительным риском. Уязвимость позволяет злоумышленникам обходить механизмы аутентификации, получать административные привилегии и потенциально получать доступ к конфиденциальным видеопотокам, что создает серьезные риски для безопасности и конфиденциальности.

Проверка установленных устройств: Определите и проверьте все установленные устройства DVR, чтобы определить, затронуты ли они этой уязвимостью.
Ограничение доступа: Ограничьте доступ к интерфейсу управления DVR до определенных IP-адресов, чтобы минимизировать воздействие.
Сегментация сети: Разместите устройства DVR в отдельном сегменте сети, чтобы ограничить потенциальное боковое перемещение злоумышленников.
Мониторинг трафика: Внедрите системы обнаружения и предотвращения вторжений для мониторинга необычных шаблонов трафика и попыток эксплуатации.
Связь с поставщиком: Свяжитесь с поставщиком для получения любых доступных исправлений или обновлений прошивки и примените их немедленно.
Отключение неиспользуемых сервисов: Отключите любые ненужные сервисы на устройствах DVR, чтобы уменьшить поверхность атаки.
Регулярные аудиты: Проводите регулярные аудиты безопасности и оценки уязвимостей для выявления и смягчения потенциальных рисков.
Обучение пользователей: Обучите пользователей и администраторов рискам, связанным с этой уязвимостью, и важности соблюдения лучших практик безопасности.