Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보TVT Digital DVR devices RCE 취약점(Amnesia)
작성일 2017-05-19 조회 1668

1. 개요

TVT Digital DVR device 에 Remote code execution 취약점이 존재한다.
해당 취약점은 2016년에 발표 되었으나 벤더사에서 패치를 진행하지 않았고, 최근에 Amnesia Botnet에서 해당 취약 기기에 대해서 취약점을 이용한 공격을 하고 있다.
Botnet에 의한 공격 뿐 아니라 Scan Tool에서도 해당 취약점을 이용한 공격을 진행한다.
공격 성공시 공격자는 임의의 코드가 실행 가능하다.

 

2. 확인 내역
2016년 해당 취약점이 발견되어 KernersonSecurity에 공개되었다. TVT Digital 제조업체에 전달하였으나 패치가 진행되지 않았고
최근에 해당 취약점을 이용한 Botnet인 Amnesia Botnet이 발견 되었다.

KernersonSecurity에서 공개한 내역을 확인해 보면 특정 URL에 IFS(Internal Field Separator)을 이용하여 크기 제한을 무시하여 원하는 코드 실행이 가능하다.

 

[그림 1. KernersonSecurity 공개 내역]

 

[그림 2. KernersonSecurity 공개 내역_2]

 

취약 벤더 리스트

Ademco,ATS Alarmes technolgy and ststems,Area1Protection,Avio,Black Hawk Security,Capture,China security systems,Cocktail Service,Cpsecured,CP PLUS,Digital Eye'z no website,Diote Service & Consulting,DVR Kapta,ELVOX,
ET Vision,Extra Eye 4 U,eyemotion,EDS,Fujitron,Full HD 1080p,Gazer,Goldeye,Goldmaster,Grizzly,HD IViewer,Hi-View,Ipcom,IPOX,IR,ISC Illinois Security Cameras,Inc.,JFL Alarmes,Lince,LOT,Lux,Lynx Security,Magtec,Meriva Security,Multistar ,Navaio,NoVus,Optivision,PARA Vision,Provision-ISR ,Q-See,Questek,Retail Solution Inc,RIT Huston .com,ROD Security cameras,Satvision,Sav Technology,Skilleye,Smarteye,Superior Electrial Systems,TechShell,TechSon,Technomate,TecVoz,TeleEye,Tomura,truVue,TVT,Umbrella,United Video Security System,Inc,Universal IT Solutions,US IT Express,U-Spy Store,Ventetian,V-Gurad Security,Vid8,Vtek,Vision Line,Visar,Vodotech.com,Vook,Watchman,Xrplus,Yansi,Zetec,ZoomX

 

해당 취약점에 대한 POC 역시 공개되어 있다.

 

[그림 3. Exploit DB 확인 내역]

 

Scan Tool인 OpenVAS 에서도 해당 취약점에 대한 스캔이 가능하다.

 

[그림 4. OpenVAS 확인 내역]

 

쇼단 검색 결과 잠재적으로 4만개 이상의 DVR device 가 취약한것으로 확인

 

[그림 5. 쇼단 검색 내역]

 

Amnesia Botnet 에서 확인 가능한 C2 명령 내역

 

[그림 6. C2 명령 내역, 참고:http://researchcenter.paloaltonetworks.com/2017/04/unit42-new-iotlinux-malware-targets-dvrs-forms-botnet/]

 

3. 결론
TVT Digital DVR device 에 Remote code execution 취약점에 대해 알아보았다.
현재 제조업체에서 발표한 패치는 없는것으로 보이며, 해당 취약점이 Amnesia Botnet 에서 사용되는 만큼 취약 모델을 사용하는 경우 각별한 주의가 필요하다.

 

4. 대응방안
1) Sniper IPS에서는 아래와 같은 패턴으로 대응 가능하다.

[IPS 패턴블럭] : 3487, TVT Digital DVR devices RCE

 

2) Snort 패턴은 시큐어캐스트에서 확인 가능하다.

 

5. 참고
http://researchcenter.paloaltonetworks.com/2017/04/unit42-new-iotlinux-malware-targets-dvrs-forms-botnet/
http://www.kerneronsec.com/2016/02/remote-code-execution-in-cctv-dvrs-of.html
http://plugins.openvas.org/nasl.php?oid=807674
https://www.exploit-db.com/exploits/39596/

첨부파일 첨부파일이 없습니다.
태그 TVT Digital  Amnesia  IOT  Botnet