攻击者正在尝试利用 PTZOptics pan-tilt-zoom (PTZ) 实时流摄像头中的两个0day漏洞。这些摄像头用于工业、医疗、商业会议、政府和法庭等行业和组织机构。

2024年4月，GreyNoise 的AI威胁检测工具 Sift 在蜜罐网络上检测到与任何已知威胁不批拍的异常活动后，发现了CVE-2024-8956和CVE-2024-8957。研究人员之后发现黑客利用该摄像头基于 CGI 的API 和内嵌的 “ntp_client” 实现命令注入。

研究员工 Konstantin Lazarev 深入分析了这两个漏洞。CVE-2024-8956位于摄像头的 “lighthttpd” web 服务器中，可使越权攻击者在无需授权标头的情况下实施越权访问，可暴露用户名、MD5密码哈希和网络配置。

CVE-2024-8957因 “ntp_client” 二进制处理的 “ntp.addr” 字段中的输入清理不充分引发，可使攻击者使用特殊构造的 payload 插入命令，实现远程代码执行后果。

Greynoise 提到，利用这两个漏洞可导致摄像头遭完全接管、遭机器人感染，跳转到在同一个网络上连接的其它设备或者破坏视频推送。该公司报道称，虽然蜜罐攻击后，最初的活动短暂停止，但6月份出现了使用 wget 下载用于反向 shell 访问的 shell 脚本情况。

漏洞披露和修复

发现CVE-2024-8956和CVE-2024-8957后，GreyNoise与 VulnCheck 向受影响厂商进行了负责任的披露。

受这两个漏洞影响的设备是基于 Hisilicon Hi3516A V600 SoC V60、V61和V63，它们运行的 VHD PTZ 摄像头固件版本早于6.3.40，包括来自 PTZOptics、Multicam Systems SAS 摄像头和 SMTAV Corporation 设备的多个型号。

虽然 PTZOptics 在9月17日发布了一份安全更新，但 PT20X-NDI-G2和PT12X-NDI-G2等机型因已达生命周期，因此并未收到固件更新。之后，GreyNoise 发现至少两款更新的机型 PT20X-SE-NDI-G3和PT30X-SE-NDI-G3并未收到补丁，但也受影响。

PTZOptics 在10月25日就通过 VulnCheck 获悉扩大后的影响范围，但截止目前仍未发布为这些机型发布修复方案。

GreyNoise表示，这些漏洞可能影响大量摄像头机型，“我们（强烈）认为，更大范围的设备受影响，可能说明实际的罪魁祸首在于制造商 (ValueHD/VHD Corporation) 使用的SDK中。”话虽如此，用户应与设备厂商确认这两个漏洞的修复方案是否已集成到最新可用的固件更新中。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~