GreyNoise Labs выявила две новые уязвимости – CVE-2024-8956 и CVE-2024-8957 – в PTZ-камерах компании ValueHD, которые могут стать мишенью для атак с помощью удалённого выполнения команд. Эти уязвимости были обнаружены с помощью Sift – инструмента, использующего ИИ для анализа интернет-трафика и выявления потенциальных угроз.
Первая уязвимость, CVE-2024-8956 (CVSS: 9.1), связана с недостаточной аутентификацией в встроенном сервере lighttpd, который используется в устройствах на базе микропроцессоров Hi3516A. Недостатки в системе аутентификации позволяют злоумышленникам получить доступ к конфиденциальным данным, таким как параметры сети и учётные данные. Это возможно из-за некорректной обработки запросов: даже при отсутствии заголовка авторизации CGI API не возвращает ошибку 401 и раскрывает данные устройства.
Вторая уязвимость, CVE-2024-8957 (CVSS: 9.8), связана с возможностью выполнения команд через специально сформированные запросы. В программном обеспечении камеры используется уязвимая функция для запуска внешней команды ntp_client. Злоумышленник может использовать эту функцию для выполнения произвольного кода, что открывает доступ к устройству для атаки.
Производитель ValueHD подтвердил, что проблема затрагивает версии прошивок ниже 6.3.40. Подверженными устройствами являются камеры, использующие платформу Hi3516A, включая PTZOptics, Multicam Systems и SMTAV.
Атака, использующая данную уязвимость, была зафиксирована 23 апреля 2024 года и исходила с IP-адреса 45.128.232.229. В ходе атаки было предпринято несколько попыток удалённого выполнения команд с помощью wget и других методов для загрузки вредоносного ПО на устройства.
Эти уязвимости демонстрируют, как даже кажущаяся незначительной проблема в системе аутентификации или защите конфигурации может привести к серьёзным последствиям. В мире, где каждое подключённое устройство становится потенциальной точкой атаки, важность своевременного обнаружения и устранения уязвимостей только растёт – безопасность не может быть на втором плане.