黑客试图利用工业、医疗保健、商务会议、政府和法庭环境中使用的 PTZOptics 云台变焦 (PTZ) 实时流媒体摄像机中的两个0day漏洞。

2024 年 4 月，GreyNoise 的人工智能威胁检测工具 Sift 在其蜜罐网络上检测到与任何已知威胁都不匹配的异常活动，发现了 CVE-2024-8956 和 CVE-2024-8957。

在检查警报后，GreyNoise 研究人员发现了一个针对摄像机基于 CGI 的 API 和嵌入的“ntp_client”的漏洞攻击尝试，旨在实现命令注入。

GreyNoise 研究员 Konstantin Lazarev 通过技术深入研究提供了有关这两个缺陷的更多信息。

CVE-2024-8956 是摄像机“lighthttpd”网络服务器中的一个弱身份验证问题，允许未经授权的用户在没有授权标头的情况下访问 CGI API，从而暴露用户名、MD5 密码哈希和网络配置。

CVE-2024-8957 是由于“ntp_client”二进制文件处理的“ntp.addr”字段中的输入清理不足引起的，允许攻击者使用特制的有效载荷插入命令以进行远程代码执行。

Greynoise 指出，利用这两个缺陷可能会导致摄像头完全被接管、被机器人感染、转移到连接同一网络的其他设备或中断视频源。

该网络安全公司报告称，虽然初始活动的源头在蜜罐攻击后不久就消失了，但 6 月份观察到了使用 wget 下载 shell 脚本进行反向 shell 访问的单独尝试。

漏洞披露和修复状态

在发现CVE-2024-8956和CVE-2024-8957后，GreyNoise 与 VulnCheck 合作，向受影响的供应商进行负责任的披露。

GreyNoise 发现的攻击尝试，来源：GreyNoise

受这两个缺陷影响的设备是基于 Hi3516A V600 SoC V60、V61 和 V63 的支持 NDI 的摄像机，运行的 VHD PTZ 摄像机固件版本早于 6.3.40。

其中包括 PTZOptics、Multicam Systems SAS 摄像机和 SMTAV Corporation 设备的几种型号。

PTZOptics 于 9 月 17 日发布了安全更新，但 PT20X-NDI-G2 和 PT12X-NDI-G2 等型号由于已达到使用寿命而未获得固件更新。

后来，GreyNoise 发现至少有两款较新的型号 PT20X-SE-NDI-G3 和 PT30X-SE-NDI-G3 也受到了影响，这两款型号也没有收到补丁。

PTZOptics 于 10 月 25 日通过 VulnCheck 收到了有关扩大范围的通知，但截至撰写本文时尚未发布针对这些型号的修复程序。

GreyNoise 称，这些缺陷可能会影响多个摄像机型号：“我们相信有更广泛的设备受到影响，这可能表明真正的罪魁祸首在于制造商（ValueHD / VHD Corporation）使用的 SDK。”

参考博客文章：

GreyNoise Intelligence 借助人工智能发现直播摄像头中的0day漏洞

https://www.greynoise.io/blog/greynoise-intelligence-discovers-zero-day-vulnerabilities-in-live-streaming-cameras-with-the-help-of-ai

漏洞分析：

CVE-2024-8956、CVE-2024-8957：如何窃取 0 Day RCE（在 LLM 的帮助下）

https://www.labs.greynoise.io/grimoire/2024-10-31-sift-0-day-rce/

新闻链接：

https://www.bleepingcomputer.com/news/security/hackers-target-critical-zero-day-vulnerability-in-ptz-cameras/