События

Опубликован PoC-код для извлечения учетных данных видеорегистраторов

Независимый исследователь безопасности из Аргентины Изекиель Фернандес (Ezequiel Fernandez) разместил на GitHub инструмент под названием getDVR_Credentials, позволяющий с легкостью извлечь учетные данные видеорегистраторов различных торговых марок, получить доступ к устройству и, соответственно, видеозаписям.

Инструмент эксплуатирует уязвимость CVE-2018-9995, обнаруженную исследователем в видеорегистраторах производства TBK. Фернандес выявил, что при отправке заголовка cookie "Cookie: uid=admin," на панель управления некоторых видеорегистраторов TBK, ответ устройства содержит учетные данные администратора в виде простого текста.

Как показали дальнейшие исследования, уязвимость затрагивает не только видеорегистраторы TBK, но и устройства других производителей, большинство из которых представляют собой переименованные версии моделей TBK DVR4104 и DVR4216. Список включает следующие бренды: CeNova, QSee, Pulnix, XVR 5 in 1, Securus, Night OWL, DVR Login, HVR Login, MDVR Login.

По оценкам исследователя, в Сети доступно более 50 тыс. уязвимых видеорегистраторов.

В настоящее время попыток эксплуатации CVE-2018-9995 злоумышленниками не зафиксировано, однако по мнению эксперта компании NewSky Security Анкита Анубхава (Ankit Anubhav), вскоре ситуация может измениться, особенно после обнародования эксплоита. «С публикацией кода в открытом доступе вопрос не в том, будут ли скомпрометированы уязвимые устройства, а в том, как скоро это случится», - предупредил эксперт.

Источник

Автор: Сергей Куприянов
3.05.2018 (10:10)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.