據GreyNoise公司安全研究人員Konstantin Lazarev披露，PTZOptics PTZ 攝像頭存在兩個零日漏洞，漏洞編號分別是CVE-2024-8956和CVE-2024-8957，目前已經發現有黑客正在利用這些零日漏洞發起網絡攻擊。

PTZ攝像機是一種集成了平移（Pan）、傾斜（Tilt）和變焦（Zoom）功能的攝像頭，能夠通過遙控或自動控制系統進行全方位的監控。這種相機廣泛應用于各種場景，如安全監控、交通監控、遠程會議等，能夠提供高質量的視頻傳輸和靈活的監控角度調整。

2024年4月，GreyNoise在其蜜罐網絡上的AI驅動威脅檢測工具Sift檢測到異?；顒樱l現了上述兩個漏洞。值得一提的是，在事后復盤分析時，GreyNoise研究人員發現了一次針對攝像頭的基于CGI的API和嵌入的'ntp_client'的利用嘗試，旨在實現命令注入。

漏洞信息

(1) CVE-2024-8956

漏洞類型：弱身份驗證問題，允許未經授權的用戶訪問CGI API。

影響：基于Hi3516A V600 SoC V60、V61和V63的支持NDI的攝像機，運行的VHD PTZ攝像機固件版本早于6.3.40。

攻擊者可以利用此漏洞，通過構造特殊的請求，繞過身份驗證，訪問攝像機的CGI API。這可能導致敏感信息泄露，如用戶名、MD5密碼哈希和網絡配置，更嚴重的情況下，攻擊者可能會利用此漏洞進行遠程代碼執行，完全接管攝像頭，或將其感染惡意軟件，進而攻擊網絡中的其他設備。

(2) CVE-2024-8957

漏洞類型：遠程代碼執行影響范圍：基于Hi3516A V600 SoC V60、V61和V63的支持NDI的攝像機，運行的VHD PTZ攝像機固件版本早于6.3.40。

由于“ntp_client”二進制文件處理的“ntp.addr”字段中的輸入清理不足，攻擊者可以使用特制的有效載荷插入命令以進行遠程代碼執行。利用此漏洞可能會導致攝像頭完全被接管、被機器人感染、轉移到連接同一網絡的其他設備或中斷視頻源

針對上述兩大漏洞，PTZOptics于2024年9月17日發布了安全更新，但部分型號如PT20X-NDI-G2和PT12X-NDI-G2等因已達到使用壽命而未獲得固件更新。后來，PTZOptics于2024年10月25日收到了有關擴大范圍的通知，但截至2024年11月1日時尚未發布針對這些型號的修復程序。

GreyNoise指出，利用這兩個漏洞可能導致完全接管攝像頭，感染機器人，轉移到同一網絡上連接的其他設備，或中斷視頻源。

盡管初始活動的源頭在蜜罐攻擊后不久就消失了，但GreyNoise 在6月份觀察到了使用wget下載shell腳本進行反向shell訪問的單獨嘗試。

建議措施

升級固件：建議受影響的用戶盡快升級到PTZOptics攝像機的最新固件版本，特別是對于未收到更新的型號。監控網絡活動：對網絡進行持續監控，以檢測任何異?；顒?，這可能是攻擊者利用此漏洞的跡象。加強安全措施：采取額外的安全措施，如更改默認憑據、限制遠程訪問和強化身份驗證機制，以減少潛在的風險。

參考來源：https://www.bleepingcomputer.com/news/security/hackers-target-critical-zero-day-vulnerability-in-ptz-cameras/