【安全资讯】CVE-2024-8956 (CVSS 9.1): PTZOptics摄像机远程攻击漏洞曝光

概要：

近日，CVE-2024-8956安全漏洞被披露，给某些PTZOptics摄像机用户带来重大风险。该漏洞被评为CVSS 9.1，远程攻击者可通过该漏洞未授权获取敏感数据并更改设备配置，是近期报告的最严重的网络音视频设备问题之一。

主要内容：

CVE-2024-8956的根本原因是认证机制不足。受影响设备未能对没有包含HTTP授权头的/cgi-bin/param.cgi端点请求强制执行适当的认证。这一漏洞允许远程攻击者在无需任何认证的情况下，检索到包括用户名、密码哈希值及配置详情等敏感数据。更糟糕的是，攻击者不仅可以查看敏感数据，还能够更改配置值或覆盖整个配置文件。

实际上，这可能导致摄像机控制被劫持、安全设置被修改，以及设备被用于进一步的网络攻击。这一漏洞由GreyNoise的Konstantin Lazarev发现，影响了PTZOptics的多个摄像机型号，包括PT30X-SDI（6.3.40版本之前)和PT30X-NDI-xx-G2（6.3.40版本之前）。使用ValueHD Corporation PTZ摄像机固件的其他AV设备，通常以白标形式销售，也存在该漏洞。

好消息是，PTZOptics已经发布固件更新来修补此漏洞。6.3.40版本固件修复了这一问题，受影响模型应尽快应用固件更新，以确保设备免受攻击。