Hackers estão tentando explorar duas falhas críticas em câmeras de pan-tilt-zoom (PTZ) da PTZOptics, amplamente utilizadas em setores como indústria, saúde, conferências empresariais, governo e tribunais. A vulnerabilidade, registrada como CVE-2024-8956, foi descoberta em abril de 2024 pela GreyNoise após seu sistema de detecção identificar atividades suspeitas em sua rede honeypot. A investigação revelou que os ataques exploram a API CGI das câmeras e o comando ‘ntp_client’ para realizar injeção de comandos, permitindo o controle remoto dos dispositivos. Em junho, os invasores tentaram baixar um shell script para obter acesso via reverse shell.

Um dos problemas está relacionado ao servidor web ‘lighthttpd’ das câmeras, que possui autenticação fraca e permite que usuários não autorizados acessem a API CGI, expondo configurações de rede, nomes de usuário e senhas em hash MD5. Outro ponto crítico é a sanitização inadequada do campo ‘ntp.addr’, que permite a inserção de comandos para execução remota de código. Essas falhas permitem que os atacantes assumam controle total das câmeras, podendo infectá-las com bots, acessar outros dispositivos na mesma rede ou interromper a transmissão de vídeo.

Modelos afetados incluem câmeras PTZ com o SoC Hisilicon Hi3516A V600, de marcas como PTZOptics, Multicam Systems SAS e SMTAV Corporation, com firmware anterior à versão 6.3.40. A PTZOptics lançou uma atualização em 17 de setembro, mas alguns modelos, como o PT20X-NDI-G2 e PT12X-NDI-G2, ficaram sem suporte e não receberam o patch.