[[430679]]

伊利諾伊州的214鎮(zhèn)中學區(qū)被六所不同的學校同時入侵，注意，這不僅僅是一個精心策劃的惡作劇。

網絡安全界的大明星、剛畢業(yè)的高中生Minh Duong發(fā)現并利用了該區(qū)Exterity IPTV系統中的一個零日漏洞。幸運的是，Minh和他的伙伴只是對學校的管理人員開了個小小的玩笑，并及時向Exterity報告了該漏洞。

但到目前為止，該公司還沒有對Minh的披露作出任何回應，也沒有對外宣稱將要做任何緩解措施。

該高中生稱，如果在接下來的幾次聯系中都沒有收到他們的回復，他將發(fā)表博文公布該漏洞的詳細信息，該Exterity IPTV 的privesc漏洞也將會被命名為CVE-2021-42109。

Big Rick

被稱為 " Big Rick "的惡作劇在該區(qū)產生了很大的影響，他們劫持了該區(qū)IPTV系統上的每臺電視、投影儀和顯示器，播放瑞克-阿斯特利的經典視頻 "Never Gonna Give You Up "。

整個鎮(zhèn)區(qū)的投影儀和電視都是連接在一起的，它們可以通過一個帶有三個Exterity工具的藍色盒子來控制。這三個工具分別是AvediaPlayer接收器，AvediaStream編碼器和AvediaServer服務器。

這些接收器包括一個web界面和一個SSH服務器來執(zhí)行串行命令。此外，它們還可以運行帶有BusyBox工具的嵌入式Linux，并使用一些為物聯網設備設計的被稱為ARC(Argonaut RISC Core)的CPU架構，。

這些顯示器可以被集中控制，可以進行廣播和接收晨間公告等內容。利用該漏洞，Minh可以對這些設備實現完全訪問和控制。

據該學生稱，從大一開始，他就已經可以完全訪問IPTV系統了。只玩過幾次，并打算進行一次惡作劇，但最終也放棄了。

直到他有了 " Big Rick" 這個想法，甚至他還用一段視頻來記錄下了這個時刻。

他在博客中寫上了免責聲明：未經許可，永遠不要以未經授權的方式訪問其他系統。

到目前為止，沒有任何跡象表明Exterity已經修復了這些漏洞，并且該公司最近在4月份已經被IP視頻技術公司VITEC收購。截至目前，兩家公司都沒有對用戶的詢問作出回應。根據其公司網站的聲明，Exterity主要被用于在世界各地通過IP網絡提供廣播電視。

IP視頻網絡受到攻擊

這一消息傳來時，IP視頻供應商已經開始越來越多地受到威脅者的攻擊。

例如，本月初在某通信公司的IP視頻監(jiān)控系統中發(fā)現了三個漏洞(CVE-2021-31986, CVE-2021-31987, CVE-2021-31988)，研究人員說這些漏洞影響了該公司所有運行在該嵌入式操作系統上的設備。

去年夏天，網絡安全和基礎設施安全局(CISA)就ThroughTek安全攝像機的供應鏈漏洞發(fā)出了警告，該漏洞使其在未經授權的情況下可以被訪問。

本文翻譯自：https://threatpost.com/rickroll-exterity-iptv-bug/175491/如若轉載，請注明原文地址。