據(jù)GreyNoise公司安全研究人員Konstantin Lazarev披露，PTZOptics PTZ 攝像頭存在兩個零日漏洞，漏洞編號分別是CVE-2024-8956和CVE-2024-8957，目前已經(jīng)發(fā)現(xiàn)有黑客正在利用這些零日漏洞發(fā)起網(wǎng)絡攻擊。

PTZ攝像機是一種集成了平移（Pan）、傾斜（Tilt）和變焦（Zoom）功能的攝像頭，能夠通過遙控或自動控制系統(tǒng)進行全方位的監(jiān)控。這種相機廣泛應用于各種場景，如安全監(jiān)控、交通監(jiān)控、遠程會議等，能夠提供高質(zhì)量的視頻傳輸和靈活的監(jiān)控角度調(diào)整。

2024年4月，GreyNoise在其蜜罐網(wǎng)絡上的AI驅(qū)動威脅檢測工具Sift檢測到異常活動，并發(fā)現(xiàn)了上述兩個漏洞。值得一提的是，在事后復盤分析時，GreyNoise研究人員發(fā)現(xiàn)了一次針對攝像頭的基于CGI的API和嵌入的'ntp_client'的利用嘗試，旨在實現(xiàn)命令注入。

漏洞信息

(1) CVE-2024-8956

漏洞類型：弱身份驗證問題，允許未經(jīng)授權(quán)的用戶訪問CGI API。

影響：基于Hi3516A V600 SoC V60、V61和V63的支持NDI的攝像機，運行的VHD PTZ攝像機固件版本早于6.3.40。

攻擊者可以利用此漏洞，通過構(gòu)造特殊的請求，繞過身份驗證，訪問攝像機的CGI API。這可能導致敏感信息泄露，如用戶名、MD5密碼哈希和網(wǎng)絡配置，更嚴重的情況下，攻擊者可能會利用此漏洞進行遠程代碼執(zhí)行，完全接管攝像頭，或?qū)⑵涓腥緪阂廛浖?，進而攻擊網(wǎng)絡中的其他設備。

(2) CVE-2024-8957

漏洞類型：遠程代碼執(zhí)行影響范圍：基于Hi3516A V600 SoC V60、V61和V63的支持NDI的攝像機，運行的VHD PTZ攝像機固件版本早于6.3.40。

由于“ntp_client”二進制文件處理的“ntp.addr”字段中的輸入清理不足，攻擊者可以使用特制的有效載荷插入命令以進行遠程代碼執(zhí)行。利用此漏洞可能會導致攝像頭完全被接管、被機器人感染、轉(zhuǎn)移到連接同一網(wǎng)絡的其他設備或中斷視頻源

針對上述兩大漏洞，PTZOptics于2024年9月17日發(fā)布了安全更新，但部分型號如PT20X-NDI-G2和PT12X-NDI-G2等因已達到使用壽命而未獲得固件更新。后來，PTZOptics于2024年10月25日收到了有關(guān)擴大范圍的通知，但截至2024年11月1日時尚未發(fā)布針對這些型號的修復程序。

GreyNoise指出，利用這兩個漏洞可能導致完全接管攝像頭，感染機器人，轉(zhuǎn)移到同一網(wǎng)絡上連接的其他設備，或中斷視頻源。

盡管初始活動的源頭在蜜罐攻擊后不久就消失了，但GreyNoise 在6月份觀察到了使用wget下載shell腳本進行反向shell訪問的單獨嘗試。

建議措施

升級固件：建議受影響的用戶盡快升級到PTZOptics攝像機的最新固件版本，特別是對于未收到更新的型號。監(jiān)控網(wǎng)絡活動：對網(wǎng)絡進行持續(xù)監(jiān)控，以檢測任何異常活動，這可能是攻擊者利用此漏洞的跡象。加強安全措施：采取額外的安全措施，如更改默認憑據(jù)、限制遠程訪問和強化身份驗證機制，以減少潛在的風險。

參考來源：https://www.bleepingcomputer.com/news/security/hackers-target-critical-zero-day-vulnerability-in-ptz-cameras/