Vulnerabilidades expõem decodificadores DVB-T2 populares a botnets

Os pesquisadores de segurança do Avast identificaram vulnerabilidades em dispositivos DVB-T2 que podem permitir que invasores os capturem em botnets.

Uma extensão do padrão de consórcio DVB para a transmissão de transmissão de televisão digital terrestre, DVB-T2 (Digital Video Broadcasting – Second Generation Terrestrial) pode transmitir áudio digital comprimido, vídeo e outros dados.

Há um impulso para a adoção do DVB-T2, na sequência da decisão da União Europeia de leiloar a banda de 700 MHz às operadoras de telecomunicações, mas, dado que nem todas as TVs suportam o novo padrão, são necessários set-top boxes que o suportem.

Muitos desses decodificadores são primitivos, consistindo de um sintonizador de TV e um dispositivo de saída, alguns deles com suporte para Internet, e muitos são altamente inseguros, revelam os pesquisadores de segurança do Avast.

A análise de dois dispositivos populares, ou seja, Thomson THT741FTA e Philips DTR3502BFTA, revelou uma série de vulnerabilidades que podem ser exploradas para injetar malware e criar botnets de decodificadores.

Uma das primeiras descobertas que os pesquisadores de segurança fizeram foi a falta de proteções Telnet, com o dispositivo permitindo que eles se conectassem sem solicitar um login. Além disso, os dispositivos permitiam a transmissão de dados por FTP, cortesia de ftpput e ftpget .

As caixas foram encontradas para usar a arquitetura MIPS e executar Linux kernel 3.10.23, que parou de receber suporte em novembro de 2017.

Os pesquisadores também descobriram que podiam adulterar o conteúdo exibido ao usuário por meio de aplicativos de previsão do tempo e RSS feed no dispositivo, devido ao uso de comunicação não criptografada. Os ataques de sequestro MiTM e DNS podem ser usados ​​para isso, dizem eles.

“Consequentemente, os invasores podem mostrar a um usuário uma mensagem de ransomware informando que sua TV foi sequestrada e exigindo um resgate para liberar o dispositivo”, observa Avast.

Além disso, os pesquisadores descobriram que era possível mover o ataque de sequestro de DNS para o dispositivo e que o armazenamento persistente no dispositivo também estava disponível, o que poderia essencialmente permitir que um invasor armazenasse cargas de malware ou outras ferramentas, persistindo assim por meio de reinicializações e redefinições .

“E como um bônus, quando adicionamos algo a / config e executamos uma redefinição de fábrica, os arquivos permaneceram. Portanto, mesmo que um usuário execute uma redefinição de fábrica, os arquivos adicionados a este diretório seriam deixados intactos ”, explica Avast.

Além disso, os pesquisadores de segurança descobriram que o firmware tem um utilitário wget embutido, que permite a busca de dados de servidores HTTP, o que significa que os adversários podem facilmente baixar binários maliciosos dentro da sessão telnet.

Os pesquisadores baixaram com sucesso uma versão Mirai no set-top box, que, eles descobriram, fechava o daemon telnet, evitando assim que outro malware infectasse o mesmo dispositivo, e começaram a escanear a Internet em busca de dispositivos adicionais para infectar.

“Não use a funcionalidade de rede do decodificador, a menos que seja absolutamente necessário. Provavelmente, é melhor verificar a previsão do tempo ou as notícias no seu telefone ”, observa Avast.

Os usuários são aconselhados a verificar se há portas abertas em seus dispositivos, caso desejem conectar o dispositivo à rede, desabilite o Universal Plug and Play (UPnP) se estiver habilitado e verifique a configuração de encaminhamento de porta e desabilite-a, a menos que seja absolutamente necessário.

Dois identificadores CVE foram emitidos para as vulnerabilidades descobertas, a saber CVE-2020-11617, que impacta o aplicativo RSS em Thomson THT741FTA 2.2.1 e Philips DTR3502BFTA DVB-T2 2.2.1 decodificadores, e CVE-2020-116180, para os serviços telnet codificados para iniciar na inicialização, em ambos os dispositivos.

Os pesquisadores contataram os fornecedores afetados, mas os problemas permanecem sem correção. Embora a Philips tenha respondido, ela disse que o subcontratado que usa para novos decodificadores não corrigirá as vulnerabilidades, e a Thomson nunca respondeu, dizem os pesquisadores.

“É uma pena que as empresas continuem a lançar produtos no mercado sem a intenção de lançar atualizações de firmware e sem nenhuma maneira para o cliente médio proteger sua caixa, que neste caso é simplesmente desabilitar o Telnet e atualizar os aplicativos RSS / Weather para usar TLS . Essa negligência afeta os clientes que não podem pagar uma TV nova ou não veem necessidade de substituir uma TV que está em perfeitas condições de funcionamento ”, conclui Avast.

Fonte: https://www.securityweek.com/vulnerabilities-expose-popular-dvb-t2-set-top-boxes-botnets-researchers