Introducció
Konstantin Lazarev, investigador de GreyNoise, ha publicat una anàlisi sobre 2 vulnerabilitats que afecten cambres PTZ del fabricant PTZOptics, les quals estan sent explotades activament. Estes van ser detectades amb la seua ferramenta de detecció d’amenaces basada en intel·ligència artificial Sift.[1] L’explotació d’estes vulnerabilitats podria permetre a un atacant executar codi de manera remota o filtrar informació del servidor web.[2]
Anàlisi
Les vulnerabilitats crítiques trobades són les següents:
-
- CVE-2024-8956 – Autenticació Incorrecta (CWE-287): Les cambres PTZOptics PT30X-SDI/NDI-xx anteriors al firmware 6.3.40 són vulnerables a un problema d’autenticació insuficient. La cambra no aplica correctament l’autenticació en /cgi-bin/param.cgi quan s’envien sol·licituds sense un encapçalat d’autorització HTTP. El resultat és que un atacant remot i no autenticat pot filtrar dades confidencials, com a noms d’usuari, hashes de contrasenyes i detalls de configuració. A més, l’atacant pot actualitzar valors de configuració individuals o sobreescriure tot l’arxiu.[3]
- CVE-2024-8957 – Neutralització incorrecta d’elements especials usats en un comando de sistema operatiu (Injecció de comando de sistema operatiu) (CWE-78): PTZOptics PT30X-SDI/NDI-xx anterior al firmware 6.3.40 és vulnerable a un problema d’injecció de comandos del sistema operatiu. La cambra no valguda prou el valor de configuració ntp_addr, la qual cosa pot provocar l’execució de comandos arbitraris quan s’inicia ntp_client. Quan es combina amb CVE-2024-8956, un atacant remot i no autenticat pot executar comandos arbitraris del sistema operatiu en els dispositius afectats.[4]
La sèrie de productes afectats és:
-
- PTZOptics PT30X-SDI, versions anteriors a 6.3.40;
- PTZOptics PT30X-NDI-xx-G2, versions anteriors a 6.3.40;
- altres equips audiovisuals de marca blanca basats en el microprogramari de càmera PTZ de ValueHD Corporation, com a dispositius de Multicam Systems SAS o SMTAV Corporation
Recomanacions
PTZOptics va publicar actualitzacions de seguretat [5] al setembre, però alguns models, com PT20X-NDI-G2 i PT12X-NDI-G2, no van rebre estes actualitzacions de microprogramari per haver arribat al final de la seua vida útil (EoL). Posteriorment, GreyNoise va detectar 2 nous models, PT20X-SE-NDI-G3 i PT30X-SE-NDI-G3, també vulnerables i que tampoc van rebre actualització.
Referències
[1] GreyNoise Intelligence Discovers Zero-Day Vulnerabilities in Live Streaming Cameras with the Help of AI [2] CVE-2024-8956, CVE-2024-8957: How to Steal a 0-Day RCE (With a Little Help from an LLM) [3] PTZOptics NDI and SDI Cameras /cgi-bin/param.cgi Insufficient Authentication [4] PTZOptics NDI and SDI Cameras Configuration Command Injection [5] Latest Firmware Files