Les acteurs de la menace exploitent activement une faille non corrigée vieille de cinq ans qui affecte les appareils d’enregistrement vidéo numérique (DVR) TBK, selon un avis publié par Fortinet FortiGuard Labs.
La vulnérabilité en question est CVE-2018-9995 (score CVSS : 9,8), un problème critique de contournement de l’authentification qui pourrait être exploité par des acteurs distants pour obtenir des autorisations élevées.
« La vulnérabilité de 5 ans (CVE-2018-9995) est due à une erreur lors de la gestion d’un cookie HTTP conçu de manière malveillante », Fortinet a dit dans une alerte d’épidémie le 1er mai 2023. « Un attaquant distant peut être en mesure d’exploiter cette faille pour contourner l’authentification et obtenir des privilèges administratifs menant éventuellement à l’accès aux flux vidéo de la caméra. »
La société de sécurité réseau a déclaré avoir observé plus de 50 000 tentatives d’exploitation d’appareils TBK DVR utilisant la faille au mois d’avril 2023. Malgré la disponibilité d’une preuve de concept (PoC) exploiter, il n’y a pas de correctifs qui corrigent la vulnérabilité.
La faille affecte les gammes de produits TBK DVR4104 et DVR4216, qui sont également renommées et vendues sous les noms CeNova, DVR Login, HVR Login, MDVR Login, Night OWL, Novo, QSee, Pulnix, Securus et XVR 5 en 1.
En outre, Fortinet a mis en garde contre une augmentation de l’exploitation des CVE-2016-20016 (score CVSS : 9,8), une autre vulnérabilité critique affectant les modèles DVR CCTV MVPower, notamment TV-7104HE 1.8.4 115215B9 et TV7108HE.
Apprenez à arrêter les ransomwares avec une protection en temps réel
Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.
La faille pourrait permettre à un attaquant distant non authentifié d’exécuter des commandes arbitraires du système d’exploitation en tant que root en raison de la présence d’un shell Web accessible via un URI /shell.
« Avec des dizaines de milliers de DVR TBK disponibles sous différentes marques, un code PoC accessible au public et une facilité d’exploitation, cette vulnérabilité est une cible facile pour les attaquants », a noté Fortinet. « Le récent pic de détections IPS montre que les caméras réseau restent une cible populaire pour les attaquants. »