Cybercriminelen hebben ruim vijf maanden lang verschillende zerodaylekken in digitale videorecorders van de Taiwanese elektronicafabrikant Lilin gebruikt om systemen onderdeel van botnets te maken. Dat meldt securitybedrijf Qihoo 360 in een blogposting.

Het eerste probleem is dat de videorecorders van hardcoded inloggegevens gebruikmaken voor onder andere het root-account en die niet zijn te wijzigen. Tevens is de apparatuur voorzien van de standaard inloggegevens "admin" en het wachtwoord "123456". Daarnaast zijn de videorecorders kwetsbaar voor command injection en kunnen aanvallers op afstand willekeurige bestanden uitlezen.

Onderzoekers van Qihoo 360 ontdekten op 30 augustus vorig jaar dat het Chalubo-botnet van de kwetsbaarheden gebruikmaakte om systemen te infecteren. Op 11 januari van dit jaar zagen de onderzoeker dat ook een ander botnet kwetsbare videorecorders aanviel. De botnets gebruiken geïnfecteerde videorecorders voor het uitvoeren van ddos-aanvallen.

De onderzoekers waarschuwden Lilin op 19 januari over de aanvallen. Een week later bleek dat ook een derde botnet bekend was met de kwetsbaarheden en zo apparaten probeerde te infecteren. Op 10 februari werd Lilin opnieuw door de onderzoekers gewaarschuwd, die op 12 februari informatie over de kwetsbaarheden met de fabrikant deelden. Twee dagen later rolde Lilin firmware-updates uit. Details over de kwetsbaarheden zijn nu openbaar gemaakt. Gebruikers krijgen het advies om de updates te installeren.