网络安全界的大明星、刚毕业的高中生Minh Duong发现并利用了该区Exterity IPTV系统中的一个零日漏洞。幸运的是,Minh和他的伙伴只是对学校的管理人员开了个小小的玩笑,并及时向Exterity报告了该漏洞。
但到目前为止,该公司还没有对Minh的披露作出任何回应,也没有对外宣称将要做任何缓解措施。
该高中生称,如果在接下来的几次联系中都没有收到他们的回复,他将发表博文公布该漏洞的详细信息,该Exterity IPTV 的privesc漏洞也将会被命名为CVE-2021-42109。
Big Rick
被称为 " Big Rick "的恶作剧在该区产生了很大的影响,他们劫持了该区IPTV系统上的每台电视、投影仪和显示器,播放瑞克-阿斯特利的经典视频 "Never Gonna Give You Up "。
整个镇区的投影仪和电视都是连接在一起的,它们可以通过一个带有三个Exterity工具的蓝色盒子来控制。这三个工具分别是AvediaPlayer接收器,AvediaStream编码器和AvediaServer服务器。
这些接收器包括一个web界面和一个SSH服务器来执行串行命令。此外,它们还可以运行带有BusyBox工具的嵌入式Linux,并使用一些为物联网设备设计的被称为ARC(Argonaut RISC Core)的CPU架构。
这些显示器可以被集中控制,可以进行广播和接收晨间公告等内容。利用该漏洞,Minh可以对这些设备实现完全访问和控制。
据该学生称,从大一开始,他就已经可以完全访问IPTV系统了。只玩过几次,并打算进行一次恶作剧,但最终也放弃了。
直到他有了 " Big Rick" 这个想法,甚至他还用一段视频来记录下了这个时刻。
他在博客中写上了免责声明:未经许可,永远不要以未经授权的方式访问其他系统。
到目前为止,没有任何迹象表明Exterity已经修复了这些漏洞,并且该公司最近在4月份已经被IP视频技术公司VITEC收购。截至目前,两家公司都没有对用户的询问作出回应。根据其公司网站的声明,Exterity主要被用于在世界各地通过IP网络提供广播电视。
IP视频网络受到攻击
这一消息传来时,IP视频供应商已经开始越来越多地受到威胁者的攻击。
例如,本月初在某通信公司的IP视频监控系统中发现了三个漏洞(CVE-2021-31986, CVE-2021-31987, CVE-2021-31988),研究人员说这些漏洞影响了该公司所有运行在该嵌入式操作系统上的设备。
去年夏天,网络安全和基础设施安全局(CISA)就ThroughTek安全摄像机的供应链漏洞发出了警告,该漏洞使其在未经授权的情况下可以被访问。(文章来源:嘶吼专业版)