前不久智能摄像头遭入侵,隐私曝光事件传的是沸沸扬扬,装有摄像头的家庭人人自危。而就在近期,国家信息安全漏洞共享平台再次曝出漏洞。报告指出,海康威视与大华股份网络摄像机存在身份认证绕过漏洞、配置文件密码泄露等漏洞。
据微信公号"新疆互联网应急中心"消息,近期,国家信息安全漏洞共享平台(CNVD)收录了海康威视与大华股份网络摄像机存在身份认证绕过漏洞、配置文件密码泄露等漏洞(CNVD-2017-06977、CNVD-2017-08191、CNVD-2017-08192、CNVD-2017-06997)。综合利用上述漏洞,远程攻击者可利用漏洞提升权限或加密其他用户身份获取敏感信息,并控制网络设备。由于漏洞利用较为简单,有可能被黑客组织利用于传播网络病毒(如:蠕虫)。
一、漏洞情况分析
HikvisionCameras、HikvisionDS-2CD2xx2F-I等系列为海康威视(Hikvision)公司(股票代码:SZ.002415)的网络摄像机产品;大华DH-IPC-HDBW23A0RN-ZS等系列设备为大华(DaHua)公司(股票代码:SZ.002236)的网络摄像机产品。多款网络摄像机产品存在类似身份认证不当漏洞与配置文件密码泄露漏洞,远程攻击者可利用漏洞提升权限或加密其他用户身份获取敏感信息,并控制网络设备。
详情如下:
CNVD对上述漏洞综合评级为"高危"。
二、防护建议
目前,海康威视公司和大华公司已及时给出了上述漏洞的安全解决方案,请访问厂商主页及时修复漏洞:
http://www.hikvision.com/us/about_10805.html
http://www.hikvision.com/us/about_10807.html
http://us.dahuasecurity.com/en/us/Security-Bulletin_030617.php
http://us.dahuasecurity.com/en/us/Security-Bulletin_04032017.php
若未能及时升级,建议可以通过临时关闭网络摄像机产品的远程管理界面或认证端口来防范网络攻击。
附:参考链接
http://www.securityfocus.com/bid/98312
http://www.securityfocus.com/bid/98313
https://nvd.nist.gov/vuln/detail/CVE-2017-7921
https://nvd.nist.gov/vuln/detail/CVE-2017-7923
https://nvd.nist.gov/vuln/detail/CVE-2017-7925
https://nvd.nist.gov/vuln/detail/CVE-2017-7927
http://www.cnvd.org.cn/flaw/show/CNVD-2017-06977
http://www.cnvd.org.cn/flaw/show/CNVD-2017-08191
http://www.cnvd.org.cn/flaw/show/CNVD-2017-08192
http://www.cnvd.org.cn/flaw/show/CNVD-2017-06997
I 相关 / Other
美媒:中国科技不再 " 山寨 " 世界都在 " 剽窃 " 中国 [快讯]
中国等于"山寨大国"?在国人眼中,这个"山寨"的帽子早就被摘掉了,但是在很多普通美国人眼中,中国依然还是那个抄袭者。不过美国的媒体还是反应过来了,中国早就已经变成了创新大国,而且还是在政府的支持之下。据海
德国民众参加“强悍维京人赛跑” 参赛者享受激情泥浆浴 [快讯]
?当地时间2017年6月3日,德国Weachtersbach,民众参加"强悍维京人赛跑"比赛。当地时间2017年6月3日,德国Weachtersbach,民众参加"强悍维京人赛跑"比赛。延伸阅读维京人(Viking),泛指北欧海盗,他们是一群凶猛的战士
撰文|周宇今天(6月28日)上午,中国海军新型驱逐舰首舰下水仪式在上海江南造船(集团)有限责任公司举行。政知道(微信ID:upolitics)从现场发回的高清大图中看到,和以往的舰艇下水仪式类似,现场彩带飘扬,"满旗
据澳大利亚9News网站6月27日报道,澳大利亚一个名媛的五岁女儿Pixie,在图片分享网站instagram上分享了自己奢华的日常生活照。这个小女孩的日常照片迅速吸引了普通大众的眼球,获得了热切的关注。这个小女孩分享了她
新华社平壤6月28日电(记者吴强程大雨)朝鲜有关部门28日宣布,将对所有参与暗杀朝鲜最高领导人金正恩的人处以极刑,其中包括韩国前总统朴槿惠。朝鲜国家保卫省、人民保安省和中央检察院当天发表声明说,有确凿证据表