Peretas secara aktif mengeksploitasi kerentanan bypass autentikasi 2018 yang belum ditambal pada perangkat TBK DVR (perekaman video digital) yang terbuka.
DVR adalah bagian integral dari sistem pengawasan keamanan karena merekam dan menyimpan video yang direkam oleh kamera. Situs web TBK Vision mengklaim produknya digunakan di bank, organisasi pemerintah, industri ritel, dan banyak lagi.
Karena server DVR ini digunakan untuk menyimpan rekaman keamanan yang sensitif, mereka biasanya ditempatkan di jaringan internal untuk mencegah akses tidak sah ke video yang direkam. Sayangnya, hal ini membuat mereka menarik bagi pelaku ancaman yang dapat mengeksploitasi mereka untuk akses awal ke jaringan perusahaan dan untuk mencuri data.
Lab FortiGard Fortinet melaporkan melihat peningkatan dalam upaya peretasan pada perangkat DVR TBK baru-baru ini, dengan pelaku ancaman menggunakan tersedia untuk umum proof of concept (PoC) mengeksploitasi untuk menargetkan kerentanan di server.
Kerentanan adalah cacat kritis (CVSS v3: 9.8), dilacak sebagai CVE-2018-9995yang memungkinkan penyerang melewati autentikasi pada perangkat dan mendapatkan akses ke jaringan yang terpengaruh.
Eksploitasi tersebut menggunakan cookie HTTP yang dibuat secara jahat, yang ditanggapi oleh perangkat TBK DVR yang rentan dengan kredensial admin dalam bentuk data JSON.
“Penyerang jarak jauh mungkin dapat mengeksploitasi kelemahan ini untuk melewati otentikasi dan mendapatkan hak akses administratif, yang pada akhirnya mengarahkan akses ke umpan video kamera,” bunyi sebuah peringatan wabah oleh Fortinet.
Kerentanan memengaruhi TBK DVR4104 dan TBK DVR4216 dan mengubah merek model ini yang dijual dengan merek Novo, CeNova, QSee, Pulnix, XVR 5 in 1, Securus, Night OWL, DVR Login, HVR Login, dan MDVR.
Menurut Fortinet, per April 2023, ada lebih dari 50.000 upaya untuk mengeksploitasi perangkat TBK DVR menggunakan kelemahan ini.
“Dengan puluhan ribu DVR TBK yang tersedia di bawah berbagai merek, kode PoC yang tersedia untuk umum, dan kemudahan untuk dieksploitasi membuat kerentanan ini menjadi sasaran empuk bagi penyerang,” jelas Fortinet.
“Lonjakan baru-baru ini dalam deteksi IPS menunjukkan bahwa perangkat kamera jaringan tetap menjadi target populer penyerang.”
Sayangnya, Fortinet tidak mengetahui pembaruan keamanan untuk mengatasi CVE-2018-9995. Oleh karena itu, disarankan untuk mengganti sistem pengawasan yang rentan dengan model baru yang didukung secara aktif atau mengisolasinya dari internet untuk mencegah akses yang tidak sah.
Cacat lama lainnya yang mengalami “wabah” eksploitasi adalah CVE-2016-20016 (CVSS v3: 9.8, “kritis”), kerentanan eksekusi kode jarak jauh yang memengaruhi MVPower TV-7104HE dan DVR TV-7108HE, memungkinkan penyerang melakukan eksekusi perintah yang tidak diautentikasi menggunakan permintaan HTTP berbahaya.
Cacat ini telah dieksploitasi secara aktif sejak 2017, tetapi Fortinet baru-baru ini melihat tanda-tanda peningkatan aktivitas jahat yang memanfaatkannya. Dalam hal ini pun vendor belum menyediakan patch untuk memperbaiki kerentanan tersebut.
