“faxociety” isimli hacker DVR,NVR üzerinden kamera OSD (On screen Display) değişikliği yaparak, sistemlerin ele geçirildiği mesajını veriyor. Bu durum hem Türkiye’de meydana gelmiş durumda, Türkiye’de bu konu ile ilgili çeşitli mesajlar geldi ayrıca globalde de yoğun olduğu internet haberlerinden görülüyor.
faxociety isimli hacker’ın OSD olarak yayınladığı mesaj :
“Your CCTV is vulnerable and can be exposed, fix it pls – DIY or Telegram me – faxociety“
Konu ile ilgili youtube video örneği :
your CCTV is vulnerable and can be expose,fix it pls DIY or Telegramme – faxociety / fix – YouTube
Nasıl oldu ?
2021’de İngiliz güvenlik araştırmacıları, Watchful_IP olarak da biliniyor., komut enjeksiyon zaafiyeti buldu. (command injection vulnerability) ve bununla çok sayıda Hikvision kamera ve kayıt cihazlarını etkilediğini gördüler. Zaafiyet herhangi bir kullanıcı girişi gerektirmiyor ve cihaz login süresini bypass ediyor. Bu durum Hikvision’a raporlanmış ve CVE-2021-36260 olarak tanımlanmış.
NVD – CVE-2021-36260 (nist.gov)
Güvenlik açığı, etkilenen bir cihazın internetten erişilebilir olmasına bağlıdır ve kısmen kötü bir saldırganın yetkisiz erişim elde etmesi için zayıf ağ güvenliği ve bakım eksikliğini gerektirir.
Hacker açıklaması :
Telegram’daki @faxociety bilgisayar korsanı, IPVM ile ilgilendiklerini doğruladı ve bunu neden yaptıklarını ve insanların kameralarını korumak için hangi adımları atabileceklerini açıklayan aşağıdaki açıklamayı gönderdi:
İngilizce : hey there, to clarify to you why I am doing this — I saw people on some forums who watch and share / sell this content or access to others and also there are many sellers of this kind of content in Telegram. it’s triggered me to do this research and notify people by this message who doesn’t understand that their systems are easy to access and in which world they are living. there are hundreds of thousands vulnerable CCTVs all around the world with the same issue and the main issue is — in 90% of cases — weak passwords. there are few steps to make your system secure enough from those sick bastards intruders (better to do by the web interface of DVR / NVR / camera): — make sure firmware of your DVR / NVR / camera is up to date; because in older firmware was a Privilege-Escalating Vulnerability backdoor and Hikvision has accepted and fixed this issue in 2017. — make sure that local admin password is strong enough. — check if there are another accounts you didn’t create by System — User Management and delete them; they like to put there something like backup / hikbackup / user / etc. — if your cameras installed inside house (at guest room / bedroom for example) highly probable there would be intruder accounts. — check if your UPnP is enabled by Network — Basic Settings — NAT and turn if off if it is; and if in your case you using port forwarding on your router to get remote access to your CCTV — better to change management / server port from default 8000 / 37777 to something unique. — and turn off the text overlay that I put by Image — OSD Settings. — check if Illegal Login Lock is Enabled by System — Security — Security Service and create the event to notify illegal logins by Event — Basic Event — Exception — Exception Type — Illegal Login — Send Email. that’s all you need to secure your CCTV. take care. Sincerely,@faxociety |
Türkçe : selam, Bunu neden yaptığımı size açıklığa kavuşturmak için — Bazı forumlarda bu içeriği izleyen ve paylaşan / satan veya başkalarına erişen insanlar gördüm ve ayrıca Telegram’da bu tür içeriğin birçok satıcısı var. beni bu araştırmayı yapmaya ve sistemlerine erişimin kolay olduğunu ve hangi dünyada yaşadıklarını anlamayan insanlara bu mesajla bilgilendirmeye itti. tüm dünyada aynı soruna sahip yüzbinlerce güvenlik açığı bulunan CCTV var ve asıl sorun — vakaların %90’ında — zayıf parolalar. sisteminizi bu saldırganlara karşı yeterince güvenli hale getirmek için birkaç adım vardır (DVR / NVR / kameranın web arayüzü ile yapmak daha iyidir): — DVR / NVR / kamera ürün yazılımının güncel olduğundan emin olun; çünkü eski ürün yazılımında Ayrıcalık Artan Güvenlik Açığı arka kapısı vardı ve Hikvision bu sorunu 2017’de kabul edip düzeltti. — yerel yönetici parolasının yeterince güçlü olduğundan emin olun. — Sistem — Kullanıcı Yönetimi tarafından oluşturmadığınız başka hesap olup olmadığını kontrol edin ve bunları silin; oraya backup / hikbackup / user / etc. — UPnP’nizin Ağ — Temel Ayarlar — NAT tarafından etkinleştirilip etkinleştirilmediğini kontrol edin ve etkinse kapatın; ve sizin durumunuzda CCTV’nize uzaktan erişim elde etmek için yönlendiricinizde bağlantı noktası iletme kullanıyorsanız — yönetim / sunucu bağlantı noktasını varsayılan 8000 / 37777’den benzersiz bir şeye değiştirmek daha iyidir. — ve Görüntü — OSD Ayarları tarafından koyduğum metin yerleşimini kapatın. — Yasadışı Oturum Açma Kilidinin Sistem — Güvenlik — Güvenlik Hizmeti tarafından Etkinleştirilip Etkinleştirilmediğini kontrol edin ve Etkinlik — Temel Olay — İstisna — İstisna Türü — Yasadışı Oturum Açma — E-posta Gönder ile yasa dışı oturum açmaları bildirmek için olay oluşturun. CCTV’nizi güvenceye almak için ihtiyacınız olan tek şey bu. Dikkatli ol. Saygılarımla,@faxociety |
Bu açıklama ilk olarak /r/homedefense alt dizininde yayınlandı, ancak kısa süre sonra silindi.
Hikvision tarafından yapılan açıklama :
We have discovered and determined that certain Hikvision NVRs and DVRs may be impacted by a scripted application. “When the UPnP/NAT feature is enabled and the ports are open, the hacker scans the router to find the IP addresses/ports and then tries brute force attacks utilising generic passwords in an attempt to log into the device” By accessing the camera or NVR/DVR web page they then over right the OSD Text Overlay and display the message: “Your CCTV is vulnerable and can be exposed,Fix it pls – DIY or Telegram me – faxociety” The devices may be affected if: Weak passwords that contain only letters and numbers are used They are exposed directly on the open Internet when UPnP/NAT feature is enabled or Port forwarding using default port settings; We recommend that actions be taken to mitigate potential risks. Please ensure the following hardening practices are employed to provide additional resilience for your customers. As always, password strength is critical. Ensure your customers set up complex passwords containing letters (uppercase and lowercase), numbers, and special characters. Please avoid using the same password multiple times when deploying security systems. In general, we recommend that you disable the UPNP/NAT feature on devices, this will not affect communication with the Hik-Connect server. In order to delete the text overlay access the devices via your browser, navigate to the menu configuration, image, OSD setting, and then delete the texts. Please then take the above preventative actions |
Bu Tip ataklar nasıl yapılıyor ?
http://shodan.io sayfasından Shodan Arama Motoru – Türkiye’nin En Profesyonel Elektronik Güvenlik Sistemleri Portalı (turk-iot.com) hikvision anahtar kelimeli cihazlar listelendiğinde, ip adresleri elde edilebiliyor. ayrıca nmap vb port scan tool’lar ile yapılan tarama neticelerinde açık olan portlar görülebiliyor.
http digest brute force atak yöntemi ile kullanıcı adı şifre deneme süreci başlıyor. Ayrıca bu kameralarda admin kullanıcı adı default geldiği için saldırgan yalnızca şifre için deneme yapıyor bu da sonuç elde etme olasılığını arttırıyor yani daha kısa sürede erişim elde edebiliyor.
http digest authentication brute foce atak örneği görmek için : Whitelist: Cracking HTTP Digest Authentication with Hydra (whitelist1.com)
*bu açıklama tamamen bilgilendirme maksatlı yapılmıştır. gerçekleşmesi durumunda oluşacak tüm sorumluluk yapan kişiye/gruba vb. aittir.
Kaynaklar :
Hikvision faxociety DVR/NVR Hack Fix 2023 (cctv101.co.uk)
Hacker Targeting 500,000 Hikvision Cameras, Says Dahua Next (ipvm.com)