据GreyNoise公司安全研究人员Konstantin Lazarev披露，PTZOptics PTZ 摄像头存在两个零日漏洞，漏洞编号分别是CVE-2024-8956和CVE-2024-8957，目前已经发现有黑客正在利用这些零日漏洞发起网络攻击。

PTZ摄像机是一种集成了平移（Pan）、倾斜（Tilt）和变焦（Zoom）功能的摄像头，能够通过遥控或自动控制系统进行全方位的监控。这种相机广泛应用于各种场景，如安全监控、交通监控、远程会议等，能够提供高质量的视频传输和灵活的监控角度调整‌。

2024年4月，GreyNoise在其蜜罐网络上的AI驱动威胁检测工具Sift检测到异常活动，并发现了上述两个漏洞。值得一提的是，在事后复盘分析时，GreyNoise研究人员发现了一次针对摄像头的基于CGI的API和嵌入的'ntp_client'的利用尝试，旨在实现命令注入。

漏洞信息

CVE-2024-8956

漏洞类型：弱身份验证问题，允许未经授权的用户访问CGI API。

影响：基于Hi3516A V600 SoC V60、V61和V63的支持NDI的摄像机，运行的VHD PTZ摄像机固件版本早于6.3.40。

攻击者可以利用此漏洞，通过构造特殊的请求，绕过身份验证，访问摄像机的CGI API。这可能导致敏感信息泄露，如用户名、MD5密码哈希和网络配置，更严重的情况下，攻击者可能会利用此漏洞进行远程代码执行，完全接管摄像头，或将其感染恶意软件，进而攻击网络中的其他设备。

CVE-2024-8957

漏洞类型：远程代码执行
影响范围：基于Hi3516A V600 SoC V60、V61和V63的支持NDI的摄像机，运行的VHD PTZ摄像机固件版本早于6.3.40。

由于“ntp_client”二进制文件处理的“ntp.addr”字段中的输入清理不足，攻击者可以使用特制的有效载荷插入命令以进行远程代码执行。利用此漏洞可能会导致摄像头完全被接管、被机器人感染、转移到连接同一网络的其他设备或中断视频源。

针对上述两大漏洞，PTZOptics于2024年9月17日发布了安全更新，但部分型号如PT20X-NDI-G2和PT12X-NDI-G2等因已达到使用寿命而未获得固件更新。后来，PTZOptics于2024年10月25日收到了有关扩大范围的通知，但截至2024年11月1日时，尚未发布针对这些型号的修复程序。

GreyNoise指出，利用这两个漏洞可能导致完全接管摄像头，感染机器人，转移到同一网络上连接的其他设备，或中断视频源。

尽管初始活动的源头在蜜罐攻击后不久就消失了，但GreyNoise 在6月份观察到了使用wget下载shell脚本进行反向shell访问的单独尝试。

建议措施

升级固件：建议受影响的用户尽快升级到PTZOptics摄像机的最新固件版本，特别是对于未收到更新的型号。
监控网络活动：对网络进行持续监控，以检测任何异常活动，这可能是攻击者利用此漏洞的迹象。
加强安全措施：采取额外的安全措施，如更改默认凭据、限制远程访问和强化身份验证机制，以减少潜在的风险。

参考来源：https://www.bleepingcomputer.com/news/security/hackers-target-critical-zero-day-vulnerability-in-ptz-cameras/

（文章部分内容转载自“安全圈”公众号）