Un investigador de seguridad cibernética creó una herramienta de hackeo que puede secuestrar un DVR y otorgar a los malos actores o hackers, acceso a las transmisiones de video que el dispositivo está grabando.
El argentino Ezequiel Fernández publicó detalles sobre su herramienta en una publicación de blog el mes pasado. En él, describe cómo una solicitud de administrador lo suficientemente corta como para caber en un solo tweet puede obtener el control de ciertos DVR. Abriendo el riesgo de que un hacker pueda aprender a ingresar a vídeos en vivo.
Contenidos de esta página
Las transmisiones de video en vivo en riesgo vulnerable por los hackers
Primero reportado por Bleeping Computer. El exploit getDVR_Credentials apropiadamente llamado es una prueba de concepto para la vulnerabilidad CVE-2018-9995 descubierta el mes pasado. Al utilizar su exploit desde el panel de control del DVR, Fernández supuestamente fue capaz de obtener credenciales de inicio de sesión en texto claro
Fernández enumeró un grupo de marcas de DVR que son vulnerables al ataque de hackers, como TBK, Novo, CeNova, QSee, Punix, DVR 5 en 1 y Securus. Como señala Bleeping Computer, muchas de estas compañías están vendiendo una versión renombrada del TBK DVR4104 DVR.
Se cree que hay decenas de miles de dispositivos vulnerables. Una captura de pantalla del servicio que Fernandez usó para determinar dónde están ubicados muestra más de 55,000 dispositivos en línea principalmente en Turquía, Malasia, India, Brasil e Italia. Fernández también publicó capturas de pantalla de imágenes en vivo y configuraciones de dispositivos a las que tuvo acceso.
Hasta el momento, no se ha detectado un ataque con el método. Pero Ankit Anubhav, investigador principal de NewSky Security, le dijo a Bleeping Computer que no cree que siga siendo así por mucho tiempo.
Los fabricantes de DVR deben tomar conciencia de estas posibilidades de riesgo
La prueba de concepto se ha subido a Github, y los malos actores o hackers ahora tienen una fuente para descubrir a quién atacar en Shodan. El motor de búsqueda que Fernández utilizó para ayudarlo a encontrar DVR vulnerables conectados a internet. Afortunadamente, parece que los fabricantes de DVR pueden bloquear las solicitudes para obtener acceso a los dispositivos mediante un simple escaneo. Aunque no está claro si las empresas son conscientes del problema.
Dado el número de dispositivos vulnerables que existen en la naturaleza y que las herramientas para realizar el ataque ya se han publicado, CVE-2018-9995 podría convertirse en la vulnerabilidad más explotada del año.
Nos hemos comunicado con TBK y actualizaremos este artículo si recibimos una respuesta.
El mes pasado, el investigador de seguridad argentino Ezequiel Fernández publicó CVE-2018-9995. Lo que significa una vulnerabilidad que descubrió en docenas de marcas de DVR que están basadas en los mismos dispositivos de marca blanca, TBK’s DVR4104 y DVR4216.
Con CVE-2018-9995, todo lo que tiene que hacer es presionar la URL del servidor web incorporado que controla el dispositivo con este encabezado de cookie. «Cookie: uid = admin». El DVR luego devuelve el inicio de sesión y la contraseña de root en el claro. 55,000 dispositivos con esta vulnerabilidad han sido indexados por el motor de búsqueda Shodan.
Fernández ha lanzado un exploit de prueba de concepto para la vulnerabilidad, llamado getDVR_Credentials. Es tan simple que cabe en un tweet: curl «http: // {DVR_HOST_IP}: {PORT} /device.rsp?opt=user&cmd=list» -H «Cookie: uid = admin»
La cuestión radica en cómo las empresas de DVR deben atacar pronto este problema
Los DVR generalmente están conectados a cámaras de seguridad domésticas o comerciales. Comprometerse con un DVR puede dar acceso a los atacantes y/o hackers a transmisiones en vivo de todas las cámaras a las que están conectados.
«El uso del código PoC se puede identificar fácilmente. Ya que usa un agente de usuario falso con los términos [mal definidos] de ‘Morzilla’ y ‘Pinux x86_128’ en lugar de Mozilla y Linux x86_128», señaló Anubhav.
«Sin embargo, los atacantes con un conjunto de habilidades básicas pueden cambiar el script para su propio uso. Ya que el exploit es bastante sencillo de entender», dijo Anubhav. Refiriéndose al hecho de que los atacantes pueden modificar el string de agente de usuario y otras constantes presentes en el script.
No obstante, las empresas aún pueden detectar intentos de acceder a /login.rsp o /device.rsp rutas URL y bloquearlas. Lo que permite el acceso a la interfaz de administración de la DVR solo para IP de confianza.
«Con el código hecho público, la pregunta no es si los dispositivos vulnerables se verán comprometidos. Sino más bien cómo los atacarán pronto», advirtió Anubhav.
Fuente: dailydot.com
Recomendaciones similares: