Les pirates tentent d’exploiter deux vulnérabilités zero-day dans les caméras de diffusion en direct PTZ (PTZ) pan-tilt-zoom (PTZ) utilisées dans l’industrie, la santé, les conférences d’affaires, le gouvernement et les salles d’audience.
En avril 2024, GreyNoise a découvert CVE-2024-8956 et CVE-2024-8957 après que son outil de détection des menaces alimenté par l’IA, Sift, a détecté une activité inhabituelle sur son réseau de pots de miel qui ne correspondait à aucune menace connue.
Après examen de l’alerte, les chercheurs de GreyNoise ont découvert une tentative d’exploit qui ciblait l’API basée sur CGI de la caméra et « ntp_client » intégré visant à obtenir une injection de commande.
Une plongée technique approfondie du chercheur GreyNoise Konstantin Lazarev fournit plus d’informations sur les deux failles.
CVE-2024-8956 est un problème d’authentification faible dans le serveur Web « lighthttpd » de la caméra, permettant à des utilisateurs non autorisés d’accéder à l’API CGI sans en-tête d’autorisation, ce qui expose les noms d’utilisateur, les hachages de mot de passe MD5 et les configurations réseau.
CVE-2024-8957 est causé par une désinfection insuffisante des entrées dans le ‘ ntp. champ addr ‘traité par le binaire ‘ntp_client’, permettant aux attaquants d’utiliser une charge utile spécialement conçue pour insérer des commandes pour l’exécution de code à distance.
Greynoise note que l’exploitation de ces deux failles peut entraîner une prise de contrôle complète de la caméra, une infection par des robots, un pivotement vers d’autres appareils connectés sur le même réseau ou une interruption des flux vidéo.
La firme de cybersécurité rapporte que si la source de l’activité initiale est devenue silencieuse peu de temps après les attaques de pots de miel, une tentative distincte utilisant wget pour télécharger un script shell pour un accès shell inversé a été observée en juin.
Divulgation et statut de fixation
Après avoir découvert CVE-2024-8956 et CVE-2024-8957, GreyNoise a travaillé avec VulnCheck pour une divulgation responsable aux fournisseurs concernés.
Les appareils concernés par les deux failles sont des caméras compatibles NDI basées sur Hisilicon Hi3516A V600 SoC V60, V61 et V63, qui exécutent des versions de micrologiciel de caméra PTZ VHD antérieures à 6.3.40.
Cela inclut plusieurs modèles de caméras PTZ Optics, Multicam Systems SAS et des appareils SMTAV Corporation.
PTZOptics a publié une mise à jour de sécurité le 17 septembre, mais des modèles comme le PT20X-NDI-G2 et le PT12X-NDI-G2 n’ont pas reçu de mise à jour du micrologiciel car ils ont atteint la fin de vie.
Plus tard, GreyNoise a découvert qu’au moins deux modèles plus récents, PT20X-SE-NDI-G3 et PT30X-SE-NDI-G3, qui n’avaient pas non plus reçu de correctif, étaient également touchés.
PTZOptics a été informé de l’élargissement de la portée via VulnCheck le 25 octobre, mais aucun correctif pour ces modèles n’a été publié au moment de la rédaction.
GreyNoise a déclaré à Breachtrace que les défauts affectaient probablement une large gamme de modèles d’appareils photo.
« Nous croyons (fermement) qu’une plus large gamme d’appareils est affectée, indiquant potentiellement que le véritable coupable se trouve dans le SDK que le fabricant (ValueHD / VHD Corporation) utilise », a déclaré GreyNoise à Breachtrace .
Cela étant dit, les utilisateurs doivent vérifier auprès du fournisseur de leur appareil si des correctifs pour CVE-2024-8956 et CVE-2024-8957 ont été incorporés dans la dernière mise à jour du micrologiciel disponible pour leurs appareils.