Er is een toename van aanvallen gericht tegen beveiligingscamera's van PTZOptics, zo meldt securitybedrijf Fortinet. Bij de aanvallen maken aanvallers misbruik van twee bekende kwetsbaarheden waardoor ze in het ergste geval op afstand volledige controle over de camera kunnen krijgen. De enige voorwaarde is dat de camera bereikbaar is voor de aanvaller.

De kwetsbare beveiligingscamera's maken gebruik van VHD PTZ camera-firmware voor versie 6.3.40. De firmware wordt onder andere gebruikt in apparaten van PTZOptics, Multicam Systems SAS en SMTAV Corporation gebaseerd op de Hisilicon Hi3516A V600 SoC V60, V61 en V63 chips. De camera's, die in allerlei sectoren zoals gezondheidszorg, productie, bedrijfsleven en overheid worden gebruikt, beschikken over een ingebouwde webserver, zodat ze eenvoudig via een browser zijn te benaderen.

De beveiligingslekken zorgen ervoor dat een aanvaller de apparaten op afstand kan overnemen. CVE-2024-8956 betreft een kritiek authenticatieprobleem. Een aanvaller kan door het versturen van speciaal geprepareerde requests gevoelige informatie opvragen, zoals gebruikersnamen, MD5-wachtwoordhashes en configuratiegegevens. Ook kan een aanvaller de configuratiewaardes aanpassen of het gehele bestand overschrijven. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.1.

Zodra de aanvaller via CVE-2024-8956 toegang heeft gekregen kan die CVE-2024-8957 gebruiken. Deze kwetsbaarheid maakt command injection mogelijk en zorgt ervoor dat de aanvaller willekeurige OS-commando's op de camera kan uitvoeren die tot remote code execution kunnen leiden, aldus Fortinet. Door de twee kwetsbaarheden te combineren kan een ongeauthenticeerde aanvaller op afstand volledige controle over de camera krijgen.

Vorig jaar oktober waarschuwden securitybedrijven al voor actief misbruik van de kwetsbaarheden. Nu laat Fortinet weten dat het een piek in de aanvallen heeft waargenomen. "FortiGuard Labs heeft aanvallen waargenomen gericht tegen PTZOptics camera's, waarbij de FortiGuard-sensoren telemetrie van wel vierduizend apparaten detecteerden. Deze toename in activiteit laat de kwetsbaarheden zien die aanwezig zijn in deze apparaten, die eenvoudig door aanvallers zijn te misbruiken die ongeautoriseerde toegang willen, wat kan leiden tot het volledig overnemen van de camera, besmetting met bots, het aanvallen van andere apparaten in hetzelfde netwerk of het verstoren van de videofeeds", aldus Fortinet.