El argentino Ezequiel Fernández (conocido también como Capitan Alfa) ha encontrado una vulnerabilidad (CVE-2018-9995, ampliada posteriormente en CVE-2018-10676) que permite obtener el listado de usuarios y passwords de los grabadores TBK DVR4100 y DVR4200 con solo disponer de acceso remoto al interfaz web.
Estos grabadores son equipos OEM que se comercializan a nivel mundial bajo distintas marcas (TBK, QSee, Night Owl, Cenova entre otras). Al usar el mismo firmware con un simple cambio de logo, todos comparten la misma vulnerabilidad.
Existe código completo para verificar la vulnerabilidad y xploit disponible y sencillo de ejecutar, lo que teniendo en cuenta que los equipos vulnerables son fácilmente localizables a través de Google o Shodan, hace que por ahora el único remedio para evitar el acceso de terceros a estos equipos vulnerables sea limitar su acceso web por internet. En la actualidad mediante Shodan es posible encontrar más de 50 mil equipos vulnerables y accesibles a cualquiera.
$> curl "http://<dvr_host>:<port>/device.rsp?opt=user&cmd=list" -H "Cookie: uid=admin"
Más información: Link
Actualización 11/May/18:
Hommax, distribuidor de los equipos TBK, ha contactado con nosotros para avisarnos que hoy mismo han publicado un articulo técnico en su blog con firmwares actualizados para solucionar la vulnerabilidad de la que se habla en este articulo. Se pueden descargar directamente desde su página web aquí, y es imprescindible que todos aquellos con equipos afectados apliquen estas actualizaciones.
