นักวิจัยปล่อยเครื่องมือที่ใช้แฮ็ก DVRs และเข้าดู Feeds วีดีโอได้บน GitHub

Ezequiel Fernandez นักวิจัยด้านความมั่นคงปลอดภัยชาวอาเจนติน่าได้ออกเครื่องมือที่สามารถสกัด Credential ที่เป็น Plaintext ของ DVR หลายยี่ห้อออกมาได้และทำให้แฮ็กเกอร์เข้าถึงระบบและหน้าจอดูวีดีโอได้

เครื่องมือ getDVR_Credentials ถูกปล่อยโดยนักวิจัยบน GitHub โดยอาศัยช่องโหว่หมายเลข CVE-2018-9995 ซึ่งสิ่งที่ Fernandez ทำตอนค้นพบช่องโหว่คือเข้าหน้า Control Panel ของ DVRs ด้วย Cookie Header คือ ‘ Cookie: uid=admin’ เช่น คำสั่งเต็มๆ คือ ‘$> curl “http://{DVR_HOST_IP}:{PORT}/device.rsp?opt=user&cmd=list” -H “Cookie: uid=admin” ‘ แล้วสิ่งที่น่าตกใจคือได้รับ Credential ของผู้ดูแลแบบ Plaintext ตอบกลับมาตามรูปด้านล่าง

โดยหลังจากการทดสอบ Fernandez พบว่ามันใช้ได้กับ DVR ยี่ห้อของ TBK DVR4104 และ DVR4216 ซึ่งมันถูกนำไปขายต่อโดยผู้ค้ารายอื่น เช่น Nono, CeNova, QSee, Pulnix, XVR 5 in 1, Securus, Night OWL, DVR Login, HVR Login และ MDVR Login นอกจากนี้เมื่อนักวิจัยค้นหาอุปกรณ์เหล่านี้ผ่านทาง Platform Search จาก Shodan Query พบว่ามีอุปกรณ์กว่า 55,000 ตัวได้รับผลกระทบ รวมถึงยังได้ลงรูปที่พิสูจน์การเข้าถึงหน้าดูวีดีโอด้วยเครื่องมือของตนตามภาพด้านบน

อย่างไรก็ตามผู้เชี่ยวชาญจาก NewSky Security บริษัทที่ให้บริษัทด้านความมั่นคงปลอดภัยอุปกรณ์ IoT ได้ทดสอบเครื่องมือของ Fernandez แล้วกล่าวว่า “ผมลองละ มันใช้ได้จริงอย่างที่ผู้สร้างคุยไว้ เพียงแค่กดปุ่มก็ได้ Plaintext Credential ออกมาเลย” แม้จะยังไม่มีการใช้งานช่องโหว่นี้ในวงกว้างแต่นักวิจัยก็กังวลว่าเมื่อเปิดช่องมาเช่นนี้ก็อาจจะมีการโจมตีเกิดขึ้นต่อไปในอนาคตอันใกล้ พร้อมทั้งเตือนว่า “แฮ็กเกอร์ไหนๆ ก็สามารถนำไปใช้งานในแบบของตัวเองได้ทั้งนั้น” ในการป้องกันบริษัทต่างๆ ก็ควรตรวจสอบความพยายามในการเข้าถึง Path เช่น /login.rsp หรือ /device.rsp และบล็อกมันซะพร้อมทั้งอนุญาตให้เข้าถึงเฉพาะ IP ที่น่าเชื่อถือเท่านั้น

ที่มา : https://www.bleepingcomputer.com/news/security/new-hacking-tool-lets-users-access-a-bunch-of-dvrs-and-their-video-feeds/