Преступники используют уязвимости в видеорегистраторах LILIN для распространения бот-сетей Chalubo, FBot и Moobot.
https://www.securitylab.ru/upload/ib...78b592e864.jpg
Операторы различных ботнетов начали эксплуатировать многочисленные 0Day-уязвимости в цифровых видеорегистраторах для систем наблюдения, изготовленных тайваньской компанией LILIN, с целью их заражения и превращения в DoS-ботов.
Уязвимости https://blog.netlab.360.com/multiple...-dvr-0-day-en/команда специалистов Netlab из компании Qihoo 360. По их словам, несколько группировок используют уязвимости в видеорегистраторах LILIN для распространения бот-сетей Chalubo, FBot и Moobot как минимум с 30 августа 2019 года.
Цепочка уязвимостей, связанная с наличием учетных данных для входа в систему (root/icatch99 и report/8Jg0SR8K50), потенциально позволяет злоумышленнику изменять файл конфигурации цифрового видеорегистратора и внедрять команды бэкдора, когда FTP- или NTP-сервер конфигурации синхронизируются.
Эксперты также обнаружили, что процесс, отвечающий за синхронизацию времени NTP-протокола (NTPUpdate), не проверяет наличие специальных символов на сервере, передаваемых в качестве входных данных, что позволяет злоумышленникам вводить и выполнять системные команды.
По словам специалистов, операторы ботнета Chalubo первыми воспользовались уязвимостью NTPUpdate в видеорегистраторах LILIN в августе прошлого года. Затем операторы ботнета FBot эксплуатировали уязвимость в FTP/NTP в январе нынешнего года, а две недели спустя и операторы Moobot воспользовались 0Day-уязвимостью.
В январе 2020 года исследователи сообщили производителю оборудования LILIN о своих находках. В феврале поставщик исправил уязвимость, выпустив версию прошивки 2.0b60_20200207.