Tres vulnerabilidades 0-day en dispositivos LILIN de grabación de vídeo digital han sido aprovechadas por botnets.
Los principales componentes de los sistemas de videovigilancia son las cámaras y los dispositivos de grabación de vídeo (Digital Video Recorder o DVR, por sus siglas del inglés) que permiten almacenar las imágenes obtenidas durante un tiempo determinado en diversos dispositivos tales como cintas magnéticas, discos HDD o SSD, memorias SD, pendrives, etc. Tradicionalmente, estos sistemas de videovigilancia mediante circuito cerrado de televisión (CCTV) utilizaban señales analógicas y se encontraban en una ubicación local. Sin embargo, con la llegada de la era digital, estos componentes comenzaron a conectarse a Internet, proporcionando una mayor versatilidad y comodidad al permitir su gestión y visionado de forma remota.
El equipo de Netlab de la firma de seguridad china Qihoo 360 ha revelado que al menos tres botnets han estado aprovechándose durante más de seis meses de otras tantas vulnerabilidades 0-day que afectaban a grabadoras de vídeo digital hasta que LILIN, el fabricante de dichos equipos, solucionó estos fallos de seguridad el pasado mes de febrero de 2020.
Las vulnerabilidades 0-day explotadas fueron las siguientes:
- La primera de las vulnerabilidades se encontraba en el proceso NTPUpdate y permitía la inyección y ejecución de comando en el sistema.
- El segundo fallo de seguridad aprovechaba las credenciales codificadas en el código del firmware (root/icatch99 y report/8Jg0SR8K50) o establecidas por defecto (admin/123456) para recuperar y modificar el fichero de configuración y, posteriormente, ejecutar comandos en el dispositivo cuando se realiza la sincronización periódica de la configuración del servidor FTP (File Transfer Protocol).
- El tercer error fue muy similar al anterior pero utilizando el servicio NTP (Network Time Protocol).
Según Netlab, la botnet Chalubo fue la primera en sacar provecho de la vulnerabilidad NTPUpdate para agregar los dispositivos DVR de LILIN afectados a su red a partir de finales de agosto del año pasado.
En enero de 2020, la botnet FBot comenzó a explotar la segunda y tercera vulnerabilidades explicadas anteriormente para reforzar su ejército de bots.
Y apenas dos semanas después de FBot, la botnet Moobot también comenzó a abusar del segundo 0-day para hacerse con el control de los dispositivos.
Aunque no se ha especificado qué hacían los creadores de las botnets con los dispositivos DVR LILIN secuestrados, se podría presuponer que serían utilizadas de la misma forma que la mayoría de estas botnets, esto es, para lanzar ataques de denegación de servicio distribuidos (DDoS) y actuar como redes proxy para redirigir el tráfico hacia sitios maliciosos.
Los investigadores de Netlab se pusieron en contacto con LILIN para informar de estas acciones en enero tras detectar las botnets Fbot y Moobot. Finalmente, a mediados de febrero, LILIN lanzó la actualización de firmware 2.0b60_20200207 para los dispositivos afectados junto con consejos de mitigación.
A pesar de que se ha esperado un mes para hacer pública esta información con la intención de permitir una ventana temporal para que los dispositivos sean actualizados, es muy probable que la aplicación del parche de seguridad se demore meses y que incluso muchos de los dispositivos en funcionamiento permanezcan sin parchear hasta su desmantelamiento.
Los dispositivos afectados pertenecen a las siguientes series: DHD516x, DHD508x, DHD504x, DHD316x, DHD308x, DHD304x, DHD204x, DHD208x y DHD216x. Si utiliza alguno de ellos, se le recomienda actualizar la versión del firmware lo antes posible.
Más información:
Multiple botnets are spreading using LILIN DVR 0-day
M00154 – Merit LILIN Network Product Vulnerability Change Notification
Deja una respuesta