Multiple Botnet DDoS Manfaatkan Kerentanan 0-Day DVR LILIN

Temuan ini datang dari tim Netlab perusahaan keamanan China, Qihoo 360, yang mengatakan kelompok serangan yang berbeda telah menggunakan kerentanan zero-day LILIN DVR untuk menyebarkan Chalubobot , FBot , dan Moobot setidaknya sejak 30 Agustus 2019 lalu.

Para peneliti Netlab mengatakan mereka menemukan keretanan di LILIN pada 19 Januari 2020. Meskipun baru sebulan kemudian vendor tersebut merilis pembaruan firmware (2.0b60_20200207) untuk menangani kerentanan ini.

Aktor penjahat siber sedang marak-maraknya menargetkan perangkat IoT dengan tujuan penggunaan sebagai permukaan serangan untuk meluncurkan serangan DDoS dan juga sebagai proxy untuk terlibat dalam berbagai bentuk kejahatan dunia maya.

Baca Juga : Kerentanan Zero-Day WhatsApp Dieksploitasi Untuk Memata-matai Pengguna

Kerentanan 0-day dalam DVR LILIN

Kerentanan 0-day DVR LILIN ini terkait pada kerentanan chain yang menggunakan akun login hard-coded (root/icatch99 dan report/8Jg0SR8K50). Kerentanan yang berpotensi memberikan kemampuan pada penyerang untuk memodifikasi file konfigurasi DVR dan menginjeksikan perintah backdoor ketika konfigurasi server FTP atau NTP disinkronkan.

Dalam skenario terpisah, para peneliti menemukan bahwa pada saat sinkronisasi waktu NTP (NTPUpdate), proses yang bertanggung jawab itu tidak memeriksa karakter khusus di server yang diteruskan sebagai input, sehingga memungkinkan bagi penyerang untuk menginjeksikan dan menjalankan perintah sistem.

Versi yang baru diupdate memperbaiki kerentanan dengan memvalidasi nama host untuk mencegah command-execution dari luar host.

Meskipun Netlab tidak membahas secara spesifik motif di balik serangan ini, tapi ini bisa jadi ancaman untuk melakukan serangan distributed denial-of-service (DDoS) pada situs web dan layanan DNS.

“Untuk mengatasinya, pengguna LILIN harus memeriksa dan memperbarui firmware perangkat mereka tepat waktu. Dan juga menggunakan akun login yang kuat untuk perangkat tersebut.” kata para peneliti Netlab.