Été été tranquillement passé laissé petit secret ......
En voyant l'été à venir, nous avons mis en vêtements légers intérieur et extérieur, surtout à la maison. T Je ne sais pas, il faisait noir, piquer l'idée de jouer la caméra.
Il rend compte BleepingComputer, un pirate nommé Ezequiel Fernandez de l'Argentine le 1er mai a publié un nouveau type d'outils puissants hacking, vous pouvez facilement extraire divers pertinents pour les fabricants OEM et TBK de l'enregistreur vidéo numérique (DVR) de lettres de créance de texte brut, lui accorder l'accès à l'attaquant et gratuit pour visionner l'enregistrement vidéo.
Cet outil est appelé getDVR_Credentials preuve CVE-2018-9995 concept (Proof-of-Concept, POC), qui est une vulnérabilité de sécurité Fernandez a découvert au début du mois dernier. En utilisant le « Cookie: uid = admin » en-têtes Cookie pour accéder à un panneau de contrôle DVR particulier, les informations d'identification de texte clair DVR en réponse au dispositif de l'administrateur. Tout au long du processus de développement est suffisamment faible, même par un micro-Bo sera en mesure de publier.
$ > boucle "http: // {DVR_HOST_IP}: {} PORT /device.rsp?opt=user&cmd=list" -H "Cookie: uid = admin"
Recherche DVR Connexion sera un grand vote sur la page de Google,
D'après les résultats d'analyse à l'aide de Shodan /login.rsp que le succès recherche nombre de dispositifs vulnérables est de 5,6 millions d'unités;
Utilisez /device.rsp pour rechercher, il peut également être trouvée dans plus de 10.000 unités supplémentaires d'équipement.
Lorsque cette vulnérabilité a d'abord été influait sur les appareils uniquement DVR réalisés par TBK, mais dans la mise à jour de lundi, Fernandez vulnérables à élargir la liste des fournisseurs marques d'équipement, y compris: Novo, CENOVA, QSEE, Pulnix, XVR 5 en 1, Securus et nuit OWL.
Fernandez a également publié une capture d'écran d'une partie de l'équipement obtenu en utilisant le CVE-2018-9995 et ses outils. L'affichage de ces captures d'écran, Fernandez accès au panneau de commande de la machine, mais peut aussi regarder l'enregistrement vidéo en temps réel.
Mais après que la foule ne pas avoir à faire trop de soucis, Lei Feng réseau appris au cours des dernières semaines depuis CVE-2018-9995 est ouvert, il n'y a eu aucune activité de numérisation à grande échelle pour cette vulnérabilité, même la publication de cet outil Fernandez, ni c'est le cas.
Bien sûr, cela peut être temporaire. Après tout, pour ceux qui exploitent des caméras de sécurité pris en otage de polymérisation spéciaux ou DVR pour enregistrer des sites Web vidéo (tels que certains sites à grande échelle), cet outil est tout simplement Fernadez la libération d'un artefact.
Référence Source: Redmond Technology