Китайский вендор DVR страдает из-за своей халатности

TVT, контрактный производитель DVR-устройств из Китая, даже спустя год не запатчил критическую RCE-уязвимость в своих девайсах. Эксплуатация бреши позволяет перехватить контроль над устройством посредством одного простого запроса, чем и пользовались все это время организаторы DDoS-атак через IoT-ботнеты.

Об уязвимости стало известно в конце прошлого года. Особую серьезность ситуации придает тот факт, что TVT — контрактный производитель: компания не продает устройства под собственным брендом, а производит их для других компаний, которые кастомизируют и упаковывают их, а затем продают под своим брендом. Таким образом, под ударом могут оказаться DVR разных компаний. По мнению исследователя Ротема Кернера (Rotem Kerner), уязвимость в прошивке присутствует в DVR 70 различных вендоров.

Но, несмотря на это, исследователь так и не смог связаться с представителями TVT в течение года, и уязвимость так и осталась незакрытой.

Как только появился публичный эксплойт, киберпреступники не преминули воспользоваться ситуацией. Обнаружить уязвимые DVR было очень просто: нужно было всего лишь пинговать случайные IP-адреса и «слушать» ответ от сервера, содержащий «Cross Web Server».

В течение года DVR-устройства производства TVT засветились во многих IoT-ботнетах. Первый был обнаружен аналитиками Sucuri в июне 2016 года; он содержал 25 тыс. зараженных устройств и генерировал до 50 тыс. мусорных запросов в секунду. Кроме того, скомпрометированные устройства TVT также стали частью ботнета Mirai, натворившего много дел осенью 2016 года.

Сегодня те же уязвимые устройства атакует новая вредоносная программа Amnesia — довольно опасный представитель семейства Linux-ботов Tsunami. Это первая версия IoT-зловреда, умеющая обходить сэндбоксы подобно Android- и Windows-зловредам. Будучи обнаруженной в виртуальной машине, вредоносная программа удаляет всю файловую систему ВМ.

Учитывая новую угрозу, все еще незакрытые бреши в DVR-устройствах TVT могут привести к появлению еще более опасного IoT-ботнета: в данный момент, по сведениям Shodan, ответ «Cross Web Server» можно получить от 50–705 тыс. сетевых устройств (хотя не все из них являются DVR-девайсами от TVT).