Aanvallers maken actief misbruik van twee kwetsbaarheden in PTZ (pan tilt zoom)-beveiligingscamera's van verschillende fabrikanten. Inmiddels zijn er firmware-updates beschikbaar gemaakt om de problemen te verhelpen, maar de aanvallen vonden al plaats voor het uitkomen van de patches. Via de twee beveiligingslekken (CVE-2024-8956 en CVE-2024-8957) kan een ongeauthenticeerde aanvaller op afstand de camera overnemen.De enige voorwaarde is dat de camera bereikbaar is voor de aanvaller. Dat melden securitybedrijven GreyNoise en VulnCheck.

De kwetsbare beveiligingscamera's maken gebruik van VHD PTZ camera firmware voor versie 6.3.40. De firmware wordt onder andere gebruikt in apparaten van PTZOptics, Multicam Systems SAS en SMTAV Corporation gebaseerd op de Hisilicon Hi3516A V600 SoC V60, V61 en V63 chips. De camera's, die in allerlei sectoren zoals gezondheidszorg, productie, bedrijfsleven en overheid worden gebruikt, beschikken over een ingebouwde webserver, zodat ze eenvoudig via een browser zijn te benaderen.

De beveiligingslekken zorgen ervoor dat een aanvaller de apparaten op afstand kan overnemen. CVE-2024-8956 betreft een kritiek authenticatieprobleem. Een aanvaller kan door het versturen van speciaal geprepareerde requests gevoelige informatie opvragen, zoals gebruikersnamen, wachtwoordhashes en configuratiegegevens. Ook kan een aanvaller de configuratiewaardes aanpassen of het gehele bestand overschrijven. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.1.

Zodra de aanvaller via CVE-2024-8956 toegang heeft gekregen kan die CVE-2024-8957 gebruiken. Deze kwetsbaarheid maakt command injection mogelijk en zorgt ervoor dat de aanvaller willekeurige OS-commando's op de camera kan uitvoeren. Door de twee kwetsbaarheden te combineren kan een ongeauthenticeerde aanvaller op afstand volledige controle over de camera krijgen. Het is onbekend sinds wanneer aanvallers misbruik van de lekken maken en hoeveel apparaten zijn gecompromitteerd.