Un investigador de seguridad argentino llamado Ezequiel Fernández ha publicado una poderosa herramienta nueva que puede extraer fácilmente las credenciales de texto claro para varias marcas de DVR y otorgar acceso a los atacantes a esos sistemas e inherentemente los videos que deben grabar
La herramienta, denominada getDVR_Credentials, es una prueba de concepto para CVE-2018-9995, una vulnerabilidad descubierta por Fernández a comienzos del mes de abril.
CVE-2018-9995 el defecto peligroso que todos ignoraron
Fernandez descubrió que al acceder al panel de control de DVR específicos con un encabezado de cookie de "Cookie:uid=admin", el DVR respondería con las credenciales de administrador del dispositivo en texto sin formato.
Todo el exploit es lo suficientemente pequeño como para caber dentro de un tweet.
curl "http://{DVR_HOST_IP}:{PORT}/device.rsp?opt=user&cmd=list" -H "Cookie: uid=admin"
Inicialmente, Fernández descubrió que CVE-2018-9995 afectaba solo a los dispositivos DVR fabricados por TBK, pero en una actualización de su informe original publicado el 30 de abril, el investigador amplió la lista de dispositivos vulnerables para incluir sistemas fabricados por otros proveedores, la mayoría de los cuales aparecieron. para vender versiones renombradas de las series TBK DVR4104 y DVR4216 originales.
Novo, CeNova, QSee, Pulnix, XVR 5 en 1, Securus, Night OWL, DVR Iniciar sesión, HVR Login, MDVR Login
Decenas de miles de dispositivos vulnerables disponibles en línea
El investigador estimó la cantidad de dispositivos vulnerables en al menos unas pocas decenas de miles. Una captura de pantalla de una consulta de Shodan que Fernández usó para identificar dispositivos vulnerables mostró más de 55,000 DVR disponibles en línea, mientras que otra mostró 10,000 más.
Ha habido sitios web en el pasado que aprovecharon fallas de seguridad para agregar transmisiones de video en vivo desde cámaras de seguridad y DVR hackeadas, por lo que la herramienta de Fernadez podría impulsar una nueva ola de portales similares.
Vulnerabilidad confirmada. No hay ataques detectados por el momento.
"Verifiqué el código y la secuencia de comandos realiza sin problemas lo que se anuncia, proporcionando credenciales de texto plano para una variedad de modelos de DVR con solo pulsar un botón", Ankit Anubhav , investigador principal de NewSky Security , una empresa de ciberseguridad especializada en IoT seguridad.
"Además, los Dorks Shodan mencionados proporcionaron una fuente precisa para obtener la lista de dispositivos potenciales que se necesitan explotar, dando al atacante respuestas a dos preguntas críticas, 'quién' atacar y 'cómo' atacar", dijo Anubhav, señalando que el repositorio de GitHub también contiene las búsquedas de Shodan que alguien necesitaría para identificar los dispositivos vulnerables.
Fernández no quiso hacer ningún comentario sobre este artículo por temor a que lo malinterpreten o lo citan incorrectamente debido a su conocimiento insuficiente del idioma inglés.
Pero su inglés insuficiente también podría haber sido la razón por la cual CVE-2018-9995 nunca fue popular entre los pastores de botnets de IoT en el último mes, desde que Fernández publicó su primera publicación de blog sobre esta vulnerabilidad.
Un exploit así de fácil de explotar y que otorgue dicho acceso a los dispositivos no debería haber sido ignorado durante todas estas semanas.
No hubo escaneos masivos para CVE-2018-9995, y tampoco parece que haya escaneos para CVE-2018-9995 ayer, después de que Fernández publicó esta herramienta.
CVE-2018-9995 es la próxima debacle de GoAhead
Pero Anubhav no ve que esta falla permanezca desconocida por mucho tiempo, especialmente después de la publicación del PoC en GitHub.
"NewSky Security ha visto recientemente algunas hazañas de IoT armadas en la naturaleza, pero eran específicas de un proveedor, es decir, CVE-2017-17215 (Huawei), CVE-2017-18046 (Dasan) y ChimayRed (Mikrotik)," Anubhav nos dijo. "Con CVE-2018-9995 agregado a la ecuación, ahora se pueden esperar escaneos y daños a nivel de otro exploit IoT entre proveedores, CVE-2017-8225 (GoAhead)".
A lo que se refiere Anubhav es a una famosa vulnerabilidad que afecta el firmware de las cámaras de seguridad IP fabricadas GoAhead, que la compañía vendió como productos de marca blanca (sin marca) a muchas otras compañías. Durante los últimos dos años, estas cámaras han sido atacadas a diario por la mayoría de las botnets de IoT que buscan nuevos dispositivos para infectar.
Con decenas de miles de DVR TBK disponibles en línea bajo diferentes marcas, con código PoC disponible públicamente y una rutina fácil de explotar para la creación de scripts, CVE-2018-9995 se convertirá seguramente en uno de los más escaneados y más explotado errores de seguridad del año.
Por ahora, salvo modificaciones al código PoC, Anubhav dice que las empresas pueden detectar ataques y bloquearlos.
"El uso del código PoC se puede identificar fácilmente ya que usa un agente de usuario falso con los términos [mal definidos] de 'Morzilla' y 'Pinux x86_128' en lugar de Mozilla y Linux x86_128", señaló Anubhav.
"Sin embargo, los atacantes con un conjunto de habilidades básicas pueden cambiar el script para su propio uso, ya que el exploit es bastante sencillo de entender", dijo Anubhav, refiriéndose al hecho de que los atacantes pueden modificar el string de agente de usuario y otras constantes presentes en el script.
No obstante, las empresas aún pueden detectar intentos de acceder a /login.rsp o /device.rsp rutas URL y bloquearlas, lo que permite el acceso a la interfaz de administración de la DVR solo para IP de confianza.
Fecha actualización el 2021-05-02. Fecha publicación el 2018-05-02. Categoría: herramientas. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer"Con el código hecho público, la pregunta no es si los dispositivos vulnerables se verán comprometidos, sino más bien cómo los atacarán pronto", advirtió Anubhav.
