Publicado el por Industriales CSIRT-CV

[SCI] Múltiples vulnerabilidades en cámaras PTZ de PTZOptics

Introducción

Konstantin Lazarev, investigador de GreyNoise, ha publicado un análisis sobre 2 vulnerabilidades que afectan a cámaras PTZ del fabricante PTZOptics, las cuales están siendo explotadas activamente. Estas fueron detectadas con su herramienta de detección de amenazas basada en inteligencia artificial Sift.[1]

La explotación de estas vulnerabilidades podría permitir a un atacante ejecutar código de forma remota o filtrar información del servidor web.[2]

Análisis

Las vulnerabilidades críticas encontradas son las siguientes:

    • CVE-2024-8956 – Autenticación Incorrecta  (CWE-287):
      Las cámaras PTZOptics PT30X-SDI/NDI-xx anteriores al firmware 6.3.40 son vulnerables a un problema de autenticación insuficiente. La cámara no aplica correctamente la autenticación en /cgi-bin/param.cgi cuando se envían solicitudes sin un encabezado de autorización HTTP. El resultado es que un atacante remoto y no autenticado puede filtrar datos confidenciales, como nombres de usuario, hashes de contraseñas y detalles de configuración. Además, el atacante puede actualizar valores de configuración individuales o sobrescribir todo el archivo.[3]
    • CVE-2024-8957 – Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)  (CWE-78):
      PTZOptics PT30X-SDI/NDI-xx anterior al firmware 6.3.40 es vulnerable a un problema de inyección de comandos del sistema operativo. La cámara no valida suficientemente el valor de configuración ntp_addr, lo que puede provocar la ejecución de comandos arbitrarios cuando se inicia ntp_client. Cuando se combina con CVE-2024-8956, un atacante remoto y no autenticado puede ejecutar comandos arbitrarios del sistema operativo en los dispositivos afectados.[4]

La serie de productos afectados es:

    • PTZOptics PT30X-SDI, versiones anteriores a 6.3.40;
    • PTZOptics PT30X-NDI-xx-G2, versiones anteriores a 6.3.40;
    • otros equipos audiovisuales de marca blanca basados en el firmware de cámara PTZ de ValueHD Corporation, como dispositivos de Multicam Systems SAS o SMTAV Corporation

Recomendaciones

PTZOptics publicó actualizaciones de seguridad[5] en septiembre, pero algunos modelos, como PT20X-NDI-G2 y PT12X-NDI-G2, no recibieron dichas actualizaciones de firmware por haber llegado al final de su vida útil (EoL).

Posteriormente, GreyNoise detectó 2 nuevos modelos, PT20X-SE-NDI-G3 y PT30X-SE-NDI-G3, también vulnerables y que tampoco recibieron actualización.

Referencias

[1] GreyNoise Intelligence Discovers Zero-Day Vulnerabilities in Live Streaming Cameras with the Help of AI
[2] CVE-2024-8956, CVE-2024-8957: How to Steal a 0-Day RCE (With a Little Help from an LLM)
[3] PTZOptics NDI and SDI Cameras /cgi-bin/param.cgi Insufficient Authentication
[4] PTZOptics NDI and SDI Cameras Configuration Command Injection
[5] Latest Firmware Files