Camera

ハッカーは、産業、ヘルスケア、ビジネス会議、政府、および法廷環境で使用されているPTZOpticsパン・チルト・ズーム(PTZ)ライブ・ストリーミング・カメラの2つのゼロデイ脆弱性を悪用しようとしています。

2024年4月、GreyNoiseは、同社のAIを搭載した脅威検出ツールであるSiftが、既知の脅威とは一致しないハニーポット・ネットワーク上の異常な活動を検出した後、CVE-2024-8956とCVE-2024-8957を発見しました。

このアラートを調査したところ、GreyNoiseの研究者は、カメラのCGIベースのAPIと組み込みの「ntp_client」を標的としたエクスプロイトの試みを発見しました

GreyNoiseの研究者Konstantin Lazarevによる技術的な深掘りは、2つの欠陥に関する詳細な情報を提供しています。

CVE-2024-8956は、カメラの’lighthttpd’ウェブサーバの弱い認証の問題で、権限のないユーザが認証ヘッダなしでCGI APIにアクセスすることを可能にし、ユーザ名、MD5パスワードハッシュ、ネットワーク設定を暴露します。

CVE-2024-8957は、「ntp_client」バイナリが処理する「ntp.addr」フィールドの入力サニタイズが不十分であることが原因であり、攻撃者は特別に細工されたペイロードを使用して、リモートコード実行のためのコマンドを挿入することができます。

Greynoise社は、これら2つの欠陥が悪用されると、カメラの完全な乗っ取り、ボットへの感染、同じネットワーク上に接続された他のデバイスへのピボット、またはビデオフィードの中断につながる可能性があると指摘している。

サイバーセキュリティ会社の報告によると、最初の活動の発生源はハニーポット攻撃の直後に沈黙したが、リバースシェルアクセスのためのシェルスクリプトをダウンロードするためにwgetを使用した別の試みが6月に観察された。

公開と修正状況

CVE-2024-8956およびCVE-2024-8957を発見すると、GreyNoiseはVulnCheckと連携して、影響を受けるベンダーへの責任ある開示を行いました。

Attempted exploit seen by GreyNoise
GreyNoise
によって確認されたエクスプロイトの試み:グレイノイズ

この 2 つの欠陥の影響を受けるデバイスは、Hisilicon Hi3516A V600 SoC V60、V61、V63 ベースの NDI 対応カメラで、6.3.40 より古いバージョンの VHD PTZ カメラのファームウェアを実行している。

これには、PTZOptics社のいくつかのモデル、Multicam Systems社のSASカメラ、SMTAV社のデバイスが含まれる。

PTZOpticsは9月17日にセキュリティアップデートをリリースしたが、PT20X-NDI-G2やPT12X-NDI-G2のようなモデルは製造終了に達したため、ファームウェアアップデートが行われなかった。

その後、GreyNoiseは、少なくとも2つの新しいモデル、PT20X-SE-NDI-G3、およびPT30X-SE-NDI-G3もパッチを受け取っておらず、影響を受けていることを発見した。

PTZOpticsは、10月25日にVulnCheckを通じて範囲の拡大について通知を受けたが、執筆時点ではこれらのモデルに対する修正パッチはリリースされていない。

GreyNoiseは、この欠陥は広範なカメラモデルに影響を与える可能性が高いと語った。

「我々は(強く)、より広範なデバイスが影響を受けていると考えており、実際の犯人がメーカー(ValueHD / VHD Corporation)が使用しているSDK内にあることを示している可能性がある」とGreyNoiseは語った。

とはいえ、CVE-2024-8956とCVE-2024-8957の修正がデバイスの最新のファームウェア・アップデートに組み込まれているかどうか、ユーザーはデバイスのベンダーに確認する必要がある。