Sicherheitsanbieter Fortinet hat eine sprunghafte Zunahme von Angriffen auf TBK DVR-Geräte festgestellt. Das Ganze wird mit mehr als 50.000 einzigartigen IPS-Erkennungen im Monat April 2023 als kritisch eingestuft. Die TBK DVR-Geräte dienen zur Speicherung von Videodaten von Überwachungskameras. Die Angreifer versuchen dabei eine 5 Jahre alte Sicherheitslücke (CVE-2018-9995) auszunutzen.
Anzeige
TBK ist ein Unternehmen, welches sich auf den Bereich Videoüberwachung spezialisiert hat (siehe Firmenwebseite). Solche Überwachungslösungen sind auch in der Industrie und in Banken zur Objektsicherung im Einsatz. Ich habe auch deutschsprachige Anzeigen für Produkte dieser Firma gesehen.
Laut der Website des Anbieters sind weltweit über 600.000 Kameras und 50.000 Rekorder in verschiedenen Bereichen wie Banken, Einzelhandel, Behörden usw. installiert. Laut der NIST NVD-Datenbank werden die TBK DVR4104- und DVR4216-Geräte auch unter anderen Marken wie Novo, CeNova, QSee, Pulnix, XVR 5 in 1, Securus, Night OWL, DVR Login, HVR Login und MDVR vertrieben.
Zum 1. Mai 2023 hat Sicherheitsanbieter Fortinet eine Sicherheitswarnung herausgegeben, weil im April 2023 plötzlich ein sprunghafter Anstieg der Angriffe auf TBK DVR-Geräte bemerkt wurde.
In der Warnung heißt es, dass FortiGuard Labs "kritische" Angriffsversuche zur Ausnutzung einer Authentifizierungsumgehungsschwachstelle in TBK-DVR-Geräten (4104/4216) mit bis zu mehr als 50.000 einzigartigen IPS-Erkennungen im Monat April 2023 beobachtete. Dabei versuchen die Angreifer eine 5 Jahre alte Sicherheitslücke (CVE-2018-9995) auszunutzen. Es handelt sich um eine einen Fehler bei der Behandlung eines böswillig erstellten HTTP-Cookies. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um die Authentifizierung zum Zugriff auf die Aufzeichnung-/Überwachungssoftware zu umgehen und administrative Rechte zu erlangen. Dies ermöglicht dem Angreifer schließlich den Zugriff auf das Videomaterial der Überwachungskameras.
Eine weiterer Spitze an IPS-Erkennungen gibt es im im Zusammenhang mit MVPower CCTV DVR-Modellen (CVE-2016-20016). Die Schwachstelle ist auch als JAWS Webserver RCE bekannt. Diese Sicherheitslücke wurde bereits 2017 in freier Wildbahn ausgenutzt und ist noch immer aktuell. The Hacker News hat das in diesem Artikel ebenfalls aufgegriffen.
2015
