Fabricant de vidéosurveillance AVTech. Lakson
Un AVTech l'exploit de l'appareil a été reconnu en octobre 2016 à la suite d'un consultatif publié par le Laboratoire d'analyse et de recherche sur l'évaluation de la sécurité. L'exploit a décrit 14 vulnérabilités dans le DVR, le NVR, la caméra IP et les appareils similaires ainsi que tous les micrologiciels du fabricant de vidéosurveillance. Ces vulnérabilités comprennent: le stockage en clair du mot de passe administratif, la protection CSRF manquante, la divulgation d'informations non authentifiées, le SSRF non authentifié dans les appareils DVR, l'injection de commandes non authentifiées dans les appareils DVR, le contournement d'authentification # 1 et 2, le téléchargement de fichier non authentifié à partir de la racine Web, le contournement captcha de connexion # 1 & 2, et HTTPS utilisé sans vérification de certificat ainsi que trois types de vulnérabilités d'injection de commandes authentifiées.
Un codeur de logiciels malveillants expert, EliteLands, travaille à la conception d'un botnet qui capitalise sur ces vulnérabilités pour effectuer des attaques DDoS, voler des informations, du spam et s'accorder l'accès à l'appareil attaqué. Le pirate informatique prétend qu'il n'a pas l'intention d'utiliser ce botnet pour mener en particulier de telles attaques mais pour avertir les gens de la capacité que ces exploits de vulnérabilité présentent. Tout comme le récent botnet Hide 'N Seek qui a travaillé pour pirater les appareils AVTech, ce nouveau botnet nommé «Death» vise à faire de même avec un code plus raffiné. Les intentions d'EliteLands ont été révélées par le chercheur de NewSky Security, Ankit Anubhav, qui a révélé à Bleeping Computer qu'EliteLands avait déclaré: «Le botnet Death n'a encore rien attaqué de majeur, mais je sais qu'il le fera. Le but du botnet de la mort était à l'origine juste de ddos mais j'ai bientôt un plus grand plan à ce sujet. Je ne l'utilise pas vraiment pour des attaques uniquement pour sensibiliser les clients à sa puissance. »
En mars 2017, AVTech s'est proposé de travailler avec SEARCH-Lab pour améliorer les systèmes de sécurité de leurs appareils. Des mises à jour du micrologiciel ont été envoyées pour corriger certains des problèmes, mais plusieurs vulnérabilités demeurent. Death Botnet s'efforce d'exploiter les vulnérabilités restantes pour accéder au réseau de vidéosurveillance d'AVTech et de ses appareils IoT, ce qui expose les utilisateurs des produits de la marque à un risque élevé. La vulnérabilité particulière qui rend tout cela possible est la vulnérabilité d'injection de commande dans les périphériques, leur faisant lire les mots de passe comme une commande shell. Anubhav a expliqué qu'EliteLands utilise des comptes de graveur pour exécuter la charge utile sur les appareils et les infecter, et selon lui, plus de 130000 appareils AVTech étaient vulnérables à l'exploitation auparavant et 1200 de ces appareils peuvent toujours être piratés à l'aide de ce mécanisme.
Le mois dernier, AVTech est sorti avec une sécurité bulletin avertir les utilisateurs du risque de ces attaques et recommander aux utilisateurs de changer de mot de passe. Cependant, ce n’est pas une solution. Les mises à jour antérieures du micrologiciel de la société ont permis de réduire le nombre de vulnérabilités exploitables, mais de telles mises à jour sont nécessaires pour atténuer entièrement le risque posé.
