伊利諾伊州的214鎮(zhèn)中學(xué)區(qū)被六所不同的學(xué)校同時(shí)入侵，注意，這不僅僅是一個(gè)精心策劃的惡作劇。

　　網(wǎng)絡(luò)安全界的大明星、剛畢業(yè)的高中生Minh Duong發(fā)現(xiàn)并利用了該區(qū)Exterity IPTV系統(tǒng)中的一個(gè)零日漏洞。幸運(yùn)的是，Minh和他的伙伴只是對(duì)學(xué)校的管理人員開(kāi)了個(gè)小小的玩笑，并及時(shí)向Exterity報(bào)告了該漏洞。

　　但到目前為止，該公司還沒(méi)有對(duì)Minh的披露作出任何回應(yīng)，也沒(méi)有對(duì)外宣稱(chēng)將要做任何緩解措施。

　　該高中生稱(chēng)，如果在接下來(lái)的幾次聯(lián)系中都沒(méi)有收到他們的回復(fù)，他將發(fā)表博文公布該漏洞的詳細(xì)信息，該Exterity IPTV 的privesc漏洞也將會(huì)被命名為CVE-2021-42109。

　　Big Rick

　　被稱(chēng)為 “ Big Rick ”的惡作劇在該區(qū)產(chǎn)生了很大的影響，他們劫持了該區(qū)IPTV系統(tǒng)上的每臺(tái)電視、投影儀和顯示器，播放瑞克-阿斯特利的經(jīng)典視頻 “Never Gonna Give You Up ”。

　　整個(gè)鎮(zhèn)區(qū)的投影儀和電視都是連接在一起的，它們可以通過(guò)一個(gè)帶有三個(gè)Exterity工具的藍(lán)色盒子來(lái)控制。這三個(gè)工具分別是AvediaPlayer接收器，AvediaStream編碼器和AvediaServer服務(wù)器。

　　這些接收器包括一個(gè)web界面和一個(gè)SSH服務(wù)器來(lái)執(zhí)行串行命令。此外，它們還可以運(yùn)行帶有BusyBox工具的嵌入式Linux，并使用一些為物聯(lián)網(wǎng)設(shè)備設(shè)計(jì)的被稱(chēng)為ARC（Argonaut RISC Core）的CPU架構(gòu)，。

　　這些顯示器可以被集中控制，可以進(jìn)行廣播和接收晨間公告等內(nèi)容。利用該漏洞，Minh可以對(duì)這些設(shè)備實(shí)現(xiàn)完全訪問(wèn)和控制。

　　據(jù)該學(xué)生稱(chēng)，從大一開(kāi)始，他就已經(jīng)可以完全訪問(wèn)IPTV系統(tǒng)了。只玩過(guò)幾次，并打算進(jìn)行一次惡作劇，但最終也放棄了。

　　直到他有了 “ Big Rick” 這個(gè)想法，甚至他還用一段視頻來(lái)記錄下了這個(gè)時(shí)刻。

　　他在博客中寫(xiě)上了免責(zé)聲明：未經(jīng)許可，永遠(yuǎn)不要以未經(jīng)授權(quán)的方式訪問(wèn)其他系統(tǒng)。

　　到目前為止，沒(méi)有任何跡象表明Exterity已經(jīng)修復(fù)了這些漏洞，并且該公司最近在4月份已經(jīng)被IP視頻技術(shù)公司VITEC收購(gòu)。截至目前，兩家公司都沒(méi)有對(duì)用戶(hù)的詢(xún)問(wèn)作出回應(yīng)。根據(jù)其公司網(wǎng)站的聲明，Exterity主要被用于在世界各地通過(guò)IP網(wǎng)絡(luò)提供廣播電視。

　　IP視頻網(wǎng)絡(luò)受到攻擊

　　這一消息傳來(lái)時(shí)，IP視頻供應(yīng)商已經(jīng)開(kāi)始越來(lái)越多地受到威脅者的攻擊。

　　例如，本月初在某通信公司的IP視頻監(jiān)控系統(tǒng)中發(fā)現(xiàn)了三個(gè)漏洞（CVE-2021-31986, CVE-2021-31987, CVE-2021-31988），研究人員說(shuō)這些漏洞影響了該公司所有運(yùn)行在該嵌入式操作系統(tǒng)上的設(shè)備。

　　去年夏天，網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）就ThroughTek安全攝像機(jī)的供應(yīng)鏈漏洞發(fā)出了警告，該漏洞使其在未經(jīng)授權(quán)的情況下可以被訪問(wèn)。