Fabricante de CCTV AVTech. Lakson
Un AVTech exploit del dispositivo fue reconocido en octubre de 2016 después de una consultivo publicado por el Laboratorio de Investigación y Análisis de Evaluación de Seguridad. El exploit describió 14 vulnerabilidades en DVR, NVR, cámara IP y dispositivos similares, así como todo el firmware del fabricante de CCTV. Estas vulnerabilidades incluyen: almacenamiento en texto plano de la contraseña administrativa, falta de protección CSRF, divulgación de información no autenticada, SSRF no autenticado en dispositivos DVR, inyección de comandos no autenticados en dispositivos DVR, omisión de autenticación n. ° 1 y 2, descarga de archivos no autenticados desde la raíz web, omisión de captcha de inicio de sesión n. ° 1 & 2, y HTTPS utilizado sin verificación de certificado, así como tres tipos de vulnerabilidades de inyección de comandos autenticadas.
Un codificador experto de malware, EliteLands, está trabajando en el diseño de una botnet que aproveche estas vulnerabilidades para realizar ataques DDoS, robar información, enviar spam y otorgarse acceso al dispositivo atacado. El pirata informático afirma que no tiene la intención de utilizar esta botnet para llevar a cabo tales ataques, sino para advertir a la gente de la capacidad que plantean tales vulnerabilidades. Al igual que la reciente botnet Hide ‘N Seek que trabajó para piratear dispositivos AVTech, esta nueva botnet llamada' Death 'tiene como objetivo hacer lo mismo con un código más pulido. Las intenciones de EliteLands fueron reveladas por el investigador de NewSky Security, Ankit Anubhav, quien reveló a Bleeping Computer que EliteLands dijo: “La botnet Death no ha atacado nada importante todavía, pero sé que lo hará. El propósito de la botnet Death fue originalmente solo para ddos, pero pronto tengo un plan mayor. Realmente no lo uso para ataques solo para que los clientes se den cuenta del poder que tiene '.
En marzo de 2017, AVTech se adelantó para trabajar con SEARCH-Lab para mejorar los sistemas de seguridad en sus dispositivos. Se enviaron actualizaciones de firmware para corregir algunos de los problemas, pero persisten varias vulnerabilidades. Death Botnet trabaja para explotar las vulnerabilidades restantes para acceder a la red CCTV de AVTech y sus dispositivos IoT, poniendo a los usuarios de los productos de la marca en alto riesgo. La vulnerabilidad particular que hace que todo esto sea posible es la vulnerabilidad de inyección de comandos en los dispositivos, que los hace leer contraseñas como comandos de shell. Anubhav explicó que EliteLands usa cuentas de grabación para ejecutar la carga útil en los dispositivos e infectarlos, y según él, más de 130,000 dispositivos AVTech eran vulnerables a la explotación anteriormente y 1200 de estos dispositivos aún pueden ser pirateados con este mecanismo.
El mes pasado, AVTech salió con una seguridad boletín advirtiendo a los usuarios del riesgo de estos ataques y recomendando que cambien las contraseñas. Sin embargo, esta no es una solución. Las actualizaciones de firmware anteriores de la compañía han trabajado para reducir la cantidad de vulnerabilidades explotables, pero se requieren actualizaciones adicionales para mitigar por completo el riesgo planteado.
