Temuan ini datang dari tim Netlab perusahaan keamanan China, Qihoo 360, yang mengatakan kelompok serangan yang berbeda telah menggunakan kerentanan zero-day LILIN DVR untuk menyebarkan Chalubobot , FBot , dan Moobot setidaknya sejak 30 Agustus 2019 lalu.
Para peneliti Netlab mengatakan mereka menemukan keretanan di LILIN pada 19 Januari 2020. Meskipun baru sebulan kemudian vendor tersebut merilis pembaruan firmware (2.0b60_20200207) untuk menangani kerentanan ini.
Aktor penjahat siber sedang marak-maraknya menargetkan perangkat IoT dengan tujuan penggunaan sebagai permukaan serangan untuk meluncurkan serangan DDoS dan juga sebagai proxy untuk terlibat dalam berbagai bentuk kejahatan dunia maya.
Baca Juga :Â Kerentanan Zero-Day WhatsApp Dieksploitasi Untuk Memata-matai Pengguna
Kerentanan 0-day dalam DVR LILIN
Kerentanan 0-day DVR LILIN ini terkait pada kerentanan chain yang menggunakan akun login hard-coded (root/icatch99 dan report/8Jg0SR8K50). Kerentanan yang berpotensi memberikan kemampuan pada penyerang untuk memodifikasi file konfigurasi DVR dan menginjeksikan perintah backdoor ketika konfigurasi server FTP atau NTP disinkronkan.
Dalam skenario terpisah, para peneliti menemukan bahwa pada saat sinkronisasi waktu NTP (NTPUpdate), proses yang bertanggung jawab itu tidak memeriksa karakter khusus di server yang diteruskan sebagai input, sehingga memungkinkan bagi penyerang untuk menginjeksikan dan menjalankan perintah sistem.
Versi yang baru diupdate memperbaiki kerentanan dengan memvalidasi nama host untuk mencegah command-execution dari luar host.
Netlab mengatakan operator di belakang Chalubo botnet adalah yang pertama kali mengeksploitasi kerentanan NTPU untuk membajak DVR LILIN Agustus lalu. Selanjutnya, botnet FBot ditemukan menggunakan kelemahan FTP / NTP awal Januari ini. Dua minggu kemudian, Moobot mulai menyebar melalui kerentanan zero-day FTP DVR LILIN.
Meskipun Netlab tidak membahas secara spesifik motif di balik serangan ini, tapi ini bisa jadi ancaman untuk melakukan serangan distributed denial-of-service (DDoS) pada situs web dan layanan DNS.
“Untuk mengatasinya, pengguna LILIN harus memeriksa dan memperbarui firmware perangkat mereka tepat waktu. Dan juga menggunakan akun login yang kuat untuk perangkat tersebut.” kata para peneliti Netlab.