Следующая новость
Предыдущая новость

DDoS-ботнет эксплуатирует 0-day уязвимости в DVR компании LILIN

23.03.2020 20:52
DDoS-ботнет эксплуатирует 0-day уязвимости в DVR компании LILIN

Рекомендуем почитать:

Xakep #251. Укрепляем VeraCrypt

  • Содержание выпуска
  • Подписка на «Хакер»

Специалисты китайской компании Qihoo 360 сообщают, что по крайней мере три ботнета эксплуатировали ряд уязвимостей нулевого дня в DVR компании LILIN. Причем это длилось более полугода, пока производитель не выпустил исправления в прошлом месяце.

Устройства DVR (digital video recorder) используются для объединения видеопотоков из локальных систем видеонаблюдения или с IP-камер и записывают их на различные носители, в том числе жесткие диски, SSD, карты памяти. DVR распространены так же повсеместно, как и сами камеры наблюдения, которые они обслуживают. К сожалению, DVR часто работают с заводскими настройками и учетными данными по умолчанию, а также с устаревшими прошивками. В итоге такие девайсы нередко становятся жертвами ботнетов, их заражают и затем используют для DDoS-атак.

По данным Qihoo 360, DRV компании LILIN имели сразу три уязвимости нулевого дня:

  • уязвимость в процессе NTPUpdate позволяла злоумышленникам внедрять и выполнять системные команды;
  • при помощи жестко закодированных учетных данных (root/icatch99 и report/8Jg0SR8K50) можно было изменить файл конфигурации DVR, а затем выполнить команды на устройстве, когда конфигурация FTP- сервера периодически синхронизируется;
  • практически то же самое можно было проделать, используя службу NTP.

Первым ботнетом, начавшим эксплуатировать 0-day баги, стал ботнет Chalubo, который злоупотреблял уязвимостью NTPUpdate начиная с конца августа прошлого года. Затем, в январе текущего года, две оставшееся проблемы нулевого дня стали использовать операторы ботнета FBot, а потом подключились и операторы ботнета Moobot, также злоупотреблявшие вторым 0-day.

Эксперты не сообщают, что именно операторы ботнетов делали с захваченными DVR, но перечисленные ботнеты обычно используются для проведения DDoS-атак, а также в качестве прокси (для перенаправления трафика злоумышленников).

Исследователи пишут, что дважды обращались к представителям LILIN, сначала после атак FBot, а затем, когда к атакам подключился ботнет Moobot. В прошлом месяце инженеры LILIN наконец выпустили обновления прошивок. Эксперты отмечают, что в настоящее время в сети можно найти более 5000 DRV LILIN.

Источник

Последние новости