伊利诺伊州镇区214中学区同时被六所不同学校入侵,请注意,这不仅仅是精心设计的恶作剧。MinhDuong是网络安全领域的大明星,刚从高中毕业,他发现并利用了该地区ExterityIPTV系统中的一个零日漏洞。幸运的是,Minh和他的伙伴们只是和学校的管理人员开了个小玩笑,并及时将错误报告给了Exterity。但截至目前,该公司并未对Minh的爆料做出回应,也未公布任何缓和措施。这位高中生表示,如果在接下来的几次接触中没有收到他们的消息,他将发布一篇博文公布漏洞的详细信息,ExterityIPTV的privesc漏洞也将被命名为CVE-2021-42109。BigRick被称为“BigRick”的骗局在该地区产生了巨大影响,劫持了该地区IPTV系统上的每台电视、投影仪和监视器,以播放经典的RickAstley视频“NeverGonnaGiveYouUp”。投影仪和电视在整个城镇相连,可以通过带有三个Exterity工具的蓝色盒子进行控制。这三个工具分别是AvediaPlayerreceiver、AvediaStreamencoder和AvediaServerserver。这些接收器包括一个Web界面和一个用于执行串行命令的SSH服务器。此外,他们可以使用BusyBox工具运行嵌入式Linux,并使用专为物联网设备设计的称为ARC(ArgonautRISCCore)的CPU架构。这些显示器可以进行集中控制,以播放和接收早间通告等。利用这个漏洞,Minh可以获得对这些设备的完全访问和控制。据该学生介绍,他从大一开始就可以完全访问IPTV系统。只玩了几次,想恶作剧,但最终也放弃了。直到他萌生了“大瑞克”的想法,他甚至用视频记录了这一刻。他在博客中写了一条免责声明:未经许可,切勿未经授权访问其他系统。到目前为止,没有迹象表明Exterity已经修复了这些漏洞,该公司最近于4月被IP视频技术公司VITEC收购。到目前为止,两家公司都没有回应用户的询问。根据其公司网站上的一份声明,Exterity主要用于在全球范围内通过IP网络传送广播电视。IP视频网络受到攻击的消息传出之际,IP视频提供商越来越多地成为威胁行为者的目标。例如,本月早些时候在一家电信公司的IP视频监控系统中发现了三个漏洞(CVE-2021-31986、CVE-2021-31987、CVE-2021-31988),研究人员称该漏洞影响了该公司的所有运营。此嵌入式操作系统上的设备。去年夏天,网络安全和基础设施安全局(CISA)就ThroughTek安全摄像头中的供应链漏洞发出警告,该漏洞允许未经授权访问。本文翻译自:https://threatpost.com/rickroll-exterity-iptv-bug/175491/如有转载请注明出处。
