[[430679]]

伊利諾伊州的214鎮(zhèn)中學(xué)區(qū)被六所不同的學(xué)校同時入侵，注意，這不僅僅是一個精心策劃的惡作劇。

網(wǎng)絡(luò)安全界的大明星、剛畢業(yè)的高中生Minh Duong發(fā)現(xiàn)并利用了該區(qū)Exterity IPTV系統(tǒng)中的一個零日漏洞。幸運(yùn)的是，Minh和他的伙伴只是對學(xué)校的管理人員開了個小小的玩笑，并及時向Exterity報告了該漏洞。

但到目前為止，該公司還沒有對Minh的披露作出任何回應(yīng)，也沒有對外宣稱將要做任何緩解措施。

該高中生稱，如果在接下來的幾次聯(lián)系中都沒有收到他們的回復(fù)，他將發(fā)表博文公布該漏洞的詳細(xì)信息，該Exterity IPTV 的privesc漏洞也將會被命名為CVE-2021-42109。

Big Rick

被稱為 " Big Rick "的惡作劇在該區(qū)產(chǎn)生了很大的影響，他們劫持了該區(qū)IPTV系統(tǒng)上的每臺電視、投影儀和顯示器，播放瑞克-阿斯特利的經(jīng)典視頻 "Never Gonna Give You Up "。

整個鎮(zhèn)區(qū)的投影儀和電視都是連接在一起的，它們可以通過一個帶有三個Exterity工具的藍(lán)色盒子來控制。這三個工具分別是AvediaPlayer接收器，AvediaStream編碼器和AvediaServer服務(wù)器。

這些接收器包括一個web界面和一個SSH服務(wù)器來執(zhí)行串行命令。此外，它們還可以運(yùn)行帶有BusyBox工具的嵌入式Linux，并使用一些為物聯(lián)網(wǎng)設(shè)備設(shè)計的被稱為ARC(Argonaut RISC Core)的CPU架構(gòu)，。

這些顯示器可以被集中控制，可以進(jìn)行廣播和接收晨間公告等內(nèi)容。利用該漏洞，Minh可以對這些設(shè)備實(shí)現(xiàn)完全訪問和控制。

據(jù)該學(xué)生稱，從大一開始，他就已經(jīng)可以完全訪問IPTV系統(tǒng)了。只玩過幾次，并打算進(jìn)行一次惡作劇，但最終也放棄了。

直到他有了 " Big Rick" 這個想法，甚至他還用一段視頻來記錄下了這個時刻。

他在博客中寫上了免責(zé)聲明：未經(jīng)許可，永遠(yuǎn)不要以未經(jīng)授權(quán)的方式訪問其他系統(tǒng)。

到目前為止，沒有任何跡象表明Exterity已經(jīng)修復(fù)了這些漏洞，并且該公司最近在4月份已經(jīng)被IP視頻技術(shù)公司VITEC收購。截至目前，兩家公司都沒有對用戶的詢問作出回應(yīng)。根據(jù)其公司網(wǎng)站的聲明，Exterity主要被用于在世界各地通過IP網(wǎng)絡(luò)提供廣播電視。

IP視頻網(wǎng)絡(luò)受到攻擊

這一消息傳來時，IP視頻供應(yīng)商已經(jīng)開始越來越多地受到威脅者的攻擊。

例如，本月初在某通信公司的IP視頻監(jiān)控系統(tǒng)中發(fā)現(xiàn)了三個漏洞(CVE-2021-31986, CVE-2021-31987, CVE-2021-31988)，研究人員說這些漏洞影響了該公司所有運(yùn)行在該嵌入式操作系統(tǒng)上的設(shè)備。

去年夏天，網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)就ThroughTek安全攝像機(jī)的供應(yīng)鏈漏洞發(fā)出了警告，該漏洞使其在未經(jīng)授權(quán)的情況下可以被訪問。

本文翻譯自：https://threatpost.com/rickroll-exterity-iptv-bug/175491/如若轉(zhuǎn)載，請注明原文地址。