Critical Vivotek Vulnerability Allows Remote Users to Inject Arbitrary Code

ช่องโหว่การฉีดโค้ดระยะไกลที่มีความรุนแรงในเฟิร์มแวร์ Vivotek Legacy (CVE-2026-22755) ช่วยให้ผู้โจมตีที่ไม่ได้ตรวจสอบสิทธิ์สามารถเรียกใช้คำสั่งโดยพลการด้วยสิทธิ์ Root ได้ ซึ่งส่งผลกระทบต่อกล้องวงจรปิด Vivotek หลายสิบรุ่น และก่อให้เกิดความเสี่ยงอย่างมากต่อองค์กรที่ยังคงใช้โครงสร้างพื้นฐานการเฝ้าระวังแบบเก่า

Severity: วิกฤต

System Impact:

• เฟิร์มแวร์ Vivotek Legacy
• กล้องวงจรปิด Vivotek รุ่น FD8365, FD9165, FD9371, FE9180, FE9191, IB9365, IP9165, IP9171, MA9321, MS9390, TB9330
• โครงสร้างพื้นฐานการเฝ้าระวังแบบเก่า (Legacy Surveillance Infrastructure)

Technical Attack Steps:

1. ช่องโหว่นี้อยู่ในสคริปต์ `upload_map.cgi` ซึ่งประมวลผลชื่อไฟล์ที่ผู้ใช้ส่งมาผ่านฟังก์ชัน `snprintf()` ที่ไม่มีการตรวจสอบความถูกต้อง ก่อนที่จะถูกส่งไปยังคำสั่ง `system()`
2. กล้อง Vivotek Legacy บางรุ่นไม่มีการป้องกันด้วยรหัสผ่านโดยค่าเริ่มต้น ทำให้ผู้โจมตีสามารถเข้าถึงได้โดยไม่ต้องยืนยันตัวตน
3. ผู้โจมตีสามารถฉีดคำสั่ง Shell ผ่านชื่อไฟล์ที่สร้างขึ้นเป็นพิเศษ ซึ่งมีอักขระพิเศษ (metacharacters) เช่น เครื่องหมายอัฒภาค (semicolons)
4. การใช้ประโยชน์จากช่องโหว่นี้ต้องเป็นไปตามเงื่อนไขเฉพาะ เช่น ขนาดไฟล์ต้องไม่เกิน 5MB, ต้องมีการบายพาสการตรวจสอบเฟิร์มแวร์, และไบนารี `/usr/sbin/confclient` ต้องยังคงอยู่
5. ผู้โจมตีจะใช้สคริปต์ Bash เพื่อสร้างอิมเมจเฟิร์มแวร์ที่ถูกต้องพร้อม Magic Bytes ที่เหมาะสม เพื่อหลีกเลี่ยงการตรวจสอบความถูกต้อง
6. ด้วยการตั้งค่าตัวแปรสภาพแวดล้อม เช่น `POST_FILE_NAME=”test_firmware.bin; id;”` ผู้โจมตีสามารถกระตุ้นการเรียกใช้คำสั่งในฐานะผู้ใช้ Root ซึ่งจะทำให้สามารถควบคุมระบบได้อย่างสมบูรณ์

Recommendations:

Short Term:

• ดำเนินการอัปเดตเฟิร์มแวร์สำหรับกล้องรุ่นที่ได้รับผลกระทบทั้งหมดทันที
• นำการแบ่งส่วนเครือข่าย (Network Segmentation) มาใช้เพื่อแยกโครงสร้างพื้นฐานกล้อง Legacy ออกจากเครือข่ายหลักและระบบที่สำคัญอื่นๆ
• ปรับใช้ลายเซ็นการตรวจจับการบุกรุก (Intrusion Detection Signatures) เพื่อระบุและบล็อกคำขอ `upload_map.cgi` ที่เป็นอันตราย
• ดำเนินการตรวจสอบสินค้าคงคลัง (Inventory Audits) อย่างละเอียดเพื่อระบุอุปกรณ์ Vivotek ที่อาจมีช่องโหว่ที่กำลังใช้งานอยู่

Long Term:

• พิจารณาแผนการเปลี่ยนอุปกรณ์เฝ้าระวังแบบ Legacy ไปใช้ระบบที่ทันสมัยและได้รับการสนับสนุนด้านความปลอดภัยอย่างต่อเนื่อง
• พัฒนานโยบายและกระบวนการจัดการแพตช์ (Patch Management) ที่แข็งแกร่งสำหรับอุปกรณ์ IoT ทั้งหมดในองค์กร
• ดำเนินการประเมินช่องโหว่และการทดสอบการเจาะระบบ (Vulnerability Assessment and Penetration Testing) เป็นประจำเพื่อค้นหาและแก้ไขช่องโหว่
• สร้างกลไกการเฝ้าระวังและตอบสนองต่อเหตุการณ์ (Monitoring and Incident Response) สำหรับกิจกรรมที่น่าสงสัยบนอุปกรณ์เครือข่ายและ IoT

Source: https://cybersecuritynews.com/vivotek-vulnerability/