Les pirates exploitent activement une vulnérabilité de contournement d’authentification non corrigée de 2018 dans les appareils TBK DVR (enregistrement vidéo numérique) exposés.
Les DVR font partie intégrante des systèmes de surveillance de sécurité car ils enregistrent et stockent les vidéos enregistrées par les caméras. Le site Web de TBK Vision affirme que ses produits sont déployés dans les banques, les organisations gouvernementales, le secteur de la vente au détail, etc.
Comme ces serveurs DVR sont utilisés pour stocker des images de sécurité sensibles, ils sont généralement situés sur des réseaux internes pour empêcher tout accès non autorisé à la vidéo enregistrée. Malheureusement, cela les rend attrayants pour les acteurs de la menace qui peuvent les exploiter pour un accès initial aux réseaux d’entreprise et pour voler des données.
FortiGard Labs de Fortinet rapporte avoir récemment constaté une augmentation des tentatives de piratage sur les appareils TBK DVR, les acteurs de la menace utilisant un exploit de preuve de concept (PoC) accessible au public pour cibler une vulnérabilité dans les serveurs.
La vulnérabilité est une faille critique (CVSS v3 : 9.8), identifiée comme CVE-2018-9995, qui permet aux attaquants de contourner l’authentification sur l’appareil et d’accéder au réseau impacté.
L’exploit utilise un cookie HTTP conçu de manière malveillante, auquel les appareils TBK DVR vulnérables répondent avec des informations d’identification d’administrateur sous la forme de données JSON.
« Un attaquant distant peut être en mesure d’exploiter cette faille pour contourner l’authentification et obtenir des privilèges administratifs, conduisant éventuellement à l’accès aux flux vidéo de la caméra », lit une alerte d’épidémie de Fortinet.
La vulnérabilité affecte les TBK DVR4104 et TBK DVR4216 et les changements de marque de ces modèles vendus sous les marques Novo, CeNova, QSee, Pulnix, XVR 5 en 1, Securus, Night OWL, DVR Login, HVR Login et MDVR.
Selon Fortinet, en avril 2023, il y avait plus de 50 000 tentatives d’exploitation des appareils TBK DVR utilisant cette faille.
« Avec des dizaines de milliers de DVR TBK disponibles sous différentes marques, un code PoC accessible au public et une facilité d’exploitation, cette vulnérabilité est une cible facile pour les attaquants », explique Fortinet.
« Le récent pic de détections IPS montre que les caméras réseau restent une cible populaire pour les attaquants. »
Malheureusement, Fortinet n’est pas au courant d’une mise à jour de sécurité pour corriger CVE-2018-9995. Par conséquent, il est conseillé de remplacer les systèmes de surveillance vulnérables par de nouveaux modèles activement pris en charge ou de les isoler d’Internet pour empêcher tout accès non autorisé.
CVE-2016-20016 (CVSS v3 : 9.8, « critique ») est une autre faille ancienne faisant l’objet d’une « épidémie » d’exploitation, une vulnérabilité d’exécution de code à distance affectant les DVR MVPower TV-7104HE et TV-7108HE, permettant aux attaquants d’exécuter des commandes non authentifiées à l’aide de requêtes HTTP malveillantes.
Cette faille est activement exploitée dans la nature depuis 2017, mais Fortinet a récemment vu des signes d’augmentation des activités malveillantes en tirant parti. Dans ce cas également, le fournisseur n’a pas fourni de correctif pour corriger la vulnérabilité.