AVTech CCTV Producent. Lakson
En AVTech Enhedsudnyttelse blev anerkendt i oktober 2016 efter en rådgivende frigivet af Security Evaluation Analysis and Research Laboratory. Udnyttelsen skitserede 14 sårbarheder i DVR, NVR, IP-kamera og lignende enheder samt al firmware fra CCTV-producenten. Disse sårbarheder inkluderer: almindelig tekstlagring af administrativ adgangskode, manglende CSRF-beskyttelse, ikke-godkendt informationsoplysning, ikke-godkendt SSRF i DVR-enheder, ikke-godkendt kommandainjektion i DVR-enheder, godkendelsesomgåelse nr. 1 og 2, uautentificeret fildownload fra webrod, login captcha bypass # 1 & 2, og HTTPS brugt uden certifikatbekræftelse samt tre slags godkendte kommandosprøjtningssårbarheder.
En ekspert malware-koder, EliteLands, arbejder på at designe et botnet, der udnytter disse sårbarheder til at udføre DDoS-angreb, stjæle information, spam og give sig selv adgang til den angrebne enhed. Hackeren hævder, at han ikke har til hensigt at bruge dette botnet til især at udføre sådanne angreb, men at advare folk om den evne, som en sådan sårbarhedsudnyttelse udgør. Ligesom det nylige Hide 'N Seek botnet, der arbejdede med at hacke AVTech-enheder, sigter dette nye botnet ved navn 'Death' mod at gøre det samme med en mere poleret kode. Intentionerne med EliteLands blev afsløret af NewSky Securitys forsker, Ankit Anubhav, der afslørede over for Bleeping Computer, at EliteLands sagde: ”Dødens botnet har endnu ikke angrebet noget større, men jeg ved, det vil. Dødens botnet-formål var oprindeligt kun til ddos, men jeg har snart en større plan om det. Jeg bruger det ikke kun til angreb for kun at få kunderne opmærksom på den magt, den har. ”
Fra marts 2017 kom AVTech frem til at arbejde med SEARCH-Lab for at forbedre sikkerhedssystemerne på deres enheder. Firmwareopdateringer blev sendt ud for at rette nogle af problemerne, men der er stadig flere sårbarheder. Death Botnet arbejder på at udnytte de resterende sårbarheder for at få adgang til CCTV-netværket af AVTech og dets IoT-enheder, hvilket sætter brugere af brandets produkter i høj risiko. Den særlige sårbarhed, der gør alt dette muligt, er sårbarheden ved kommandainjektion i enhederne, hvilket får dem til at læse adgangskoder som shell-kommando. Anubhav forklarede, at EliteLands bruger brænderkonti til at udføre nyttelast på enheder og inficere dem, og ifølge ham var over 130.000 AVTech-enheder sårbare over for at udnytte tidligere, og 1200 sådanne enheder kan stadig hackes ved hjælp af denne mekanisme.
Sidste måned kom AVTech med en sikkerhed opslag advarer brugere om risikoen for disse angreb og anbefaler, at brugere skifter adgangskoder. Dette er dog ikke en løsning. Tidligere firmwareopdateringer fra virksomheden har arbejdet for at reducere antallet af udnyttelige sårbarheder, men yderligere sådanne opdateringer er nødvendige for fuldstændigt at afbøde den udgjorte risiko.
