Fabricant de TVCC AVTech. Lakson
An AVTech l'explotació del dispositiu es va reconèixer a l'octubre del 2016 després d'una assessorament publicat pel laboratori d’anàlisi i investigació de l’avaluació de la seguretat. L'explotació va descriure 14 vulnerabilitats en DVR, NVR, càmera IP i dispositius similars, així com en tots els microprogramaris del fabricant de CCTV. Aquestes vulnerabilitats inclouen: emmagatzematge en text complet de contrasenya administrativa, falta de protecció CSRF, divulgació d'informació no autenticada, SSRF no autenticat en dispositius DVR, injecció d'ordres no autenticada en dispositius DVR, bypass d'autenticació # 1 i 2, descàrrega de fitxers no autenticada des de l'arrel web, bypass captcha d'inici de sessió núm. 1 & 2 i HTTPS utilitzats sense verificació de certificats, així com tres tipus de vulnerabilitats d'injecció d'ordres autenticades.
Un expert programador de programari maliciós, EliteLands, treballa en el disseny d’una xarxa de bot que aprofita aquestes vulnerabilitats per realitzar atacs DDoS, robar informació, correu brossa i donar-se accés al dispositiu atacat. El pirata informàtic afirma que no té intenció d'utilitzar aquesta botnet per dur a terme atacs particulars, sinó per advertir a la gent de la capacitat que suposen aquestes vulnerabilitats. Igual que la recent botnet Hide ‘N Seek que va funcionar per piratejar dispositius AVTech, aquesta nova botnet anomenada“ Death ”pretén fer el mateix amb un codi més polit. Les intencions d’EliteLands van ser revelades per l’investigador de NewSky Security, Ankit Anubhav, que va revelar a Bleeping Computer que EliteLands va dir: “La botnet Death encara no ha atacat res important, però sé que ho farà. El propòsit de la botnet Death era originalment només ddos, però en tinc un pla més gran aviat. Realment no l’utilitzo per atacar només per conscienciar els clients del poder que té ”.
A partir de març de 2017, AVTech es va presentar a treballar amb SEARCH-Lab per millorar els sistemes de seguretat dels seus dispositius. S'han enviat actualitzacions de microprogramari per corregir alguns dels problemes, però queden diverses vulnerabilitats. Death Botnet treballa per explotar les vulnerabilitats restants per accedir a la xarxa de CCTV d’AVTech i els seus dispositius IoT, cosa que posa en risc els usuaris dels productes de la marca. La vulnerabilitat particular que fa que tot això sigui possible és la vulnerabilitat d'injecció d'ordres als dispositius, que els fa llegir contrasenyes com a ordre de l'intèrpret d'ordres. Anubhav va explicar que EliteLands utilitza comptes de cremador per executar càrrega útil en dispositius i infectar-los, i segons ell, més de 130.000 dispositius AVTech eren vulnerables a l'explotació anterior i encara es poden piratejar 1200 dispositius d'aquest tipus mitjançant aquest mecanisme.
El mes passat, AVTech va sortir amb una seguretat butlletí advertint als usuaris del risc d’aquests atacs i recomanant als usuaris que canviïn les contrasenyes. Tot i això, aquesta no és una solució. Les actualitzacions de microprogramari anteriors de la companyia han treballat per reduir el nombre de vulnerabilitats explotables, però es requereixen aquestes actualitzacions per mitigar completament el risc que comporta.
