未打補丁的大華攝像頭容易受到未經身份驗證的遠端訪問
大華攝像頭中兩個認證繞過漏洞的概念驗證已線上提供,建議使用者立即更新。
身份驗證繞過漏洞被跟蹤為CVE-2021-33044和CVE-2021-33045,這兩種安全漏洞都可以在登入過程中透過向目標裝置傳送特製資料包來遠端利用。
一個月前,大華髮布了安全建議,敦促易受攻擊機型的使用者升級韌體,但考慮到這些裝置在初始安裝和設定後受到忽視,其中許多裝置可能仍在執行舊的易受攻擊的版本。
部分大華產品在登入過程中發現的身份認證繞過漏洞。攻擊者可以透過構建惡意資料包來繞過裝置身份驗證。
該漏洞的CVSS v3得分為8.1,供應商建議其客戶安裝安全更新。
受影響的機型列表很長,包括IPC-X3XXX、HX5XXX、HUM7XX、VTO75X95X、VTO65XXX、VTH542XH、雲臺球型攝像機SD1A1、SD22、SD49、SD50、SD52C、SD6AL、熱敏TPC-BF1241、TPC221-TBF2 -SD2221、TPC-BF5XXX、TPC-SD8X21、TPC-PT8X21B、NVR1XXX、NVR2XXX、NVR4XXX、NVR5XXX、NVR6XX。
受影響的型號列表非常廣泛,涵蓋了許多大華相機,甚至包括一些熱敏相機。在Shodan 上進行搜尋發現,全球範圍內發現了超過120萬個大華系統。
大華攝像頭全球線上。來源:Shodan
需要說明的是,並非所有這些裝置都容易受到攻擊,但受影響的模型列表包含一些廣泛部署的模型。
被禁的安全問題
大華科技被禁止在美國開展業務和銷售產品,因為早在2019年10月就被新增到美國商務部的“實體清單”中。
不過,目前活躍使用的大華攝像頭仍有數萬臺,其中一些可能並不那麼明顯。據The Intercept最近報導,在美國(如霍尼韋爾)或加拿大品牌下在美國銷售的許多相機,實際上使用的是大華硬體甚至軟體。
如何保護您的裝置
除了將您的大華裝置升級到適用於型號的最新可用韌體版本外,還應該更改初始密碼,使用強密碼。您還應該更改開箱即用的密碼,使用獨特而強大的密碼。將root訪問憑據留給“admin”。
此外,如果攝像頭是無線的,請啟用WPA2加密,並儘可能為您的IoT設定一個單獨的隔離網路。 如果您的模型支援雲端計算,可以從控制介面自動獲取修復升級,無需訪問大華下載中心。
這兩個漏洞是在2021年6月13日被發現的,因此一些大華攝像頭在至少2.5個月的時間裡仍然容易受到未經認證的訪問,即使是那些剛釋出韌體就應用了韌體更新的使用者。
安全問題頻現,物聯網製造商應該注意。隨著智慧裝置爆炸式發展,惡意軟體的攻擊必定會隨之增加。攝像頭遭入侵、手機訊號被劫持、汽車被破解,越來越多的智慧裝置問題出現,其背後是眾多的物聯網安全問題,物聯網安全漏洞頻出。
伴隨物聯網防護水平較低安全漏洞補丁修補不及時,而竊得的隱私和資料又容易變現,這使得越來越多駭客藉此獲利,同時又促使針對物聯網的攻擊更加頻繁和猖獗。保障物聯網安全,一方面需要及時更新補丁確保軟體安全漏洞被修補,另一方面,對在軟體開發過程中實時 檢測程式碼安全從而提高軟體安全性,減少安全漏洞,可以從根源上防止軟體系統因安全漏洞被攻擊而引發網路安全風險。
參讀連結:
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2795078/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- win10安全策略阻止未經身份驗證的來賓訪問該怎麼辦Win10
- 遠端訪問的型別使用的協議和身份驗證方法介紹型別協議
- java 在windows下怎麼訪問攝像頭?JavaWindows
- 大華攝像頭二次開發-web端實現實時視訊監控Web
- 新版Chrome http訪問無法開啟攝像頭ChromeHTTP
- 攝像頭 ISP 除錯的入門之談(經驗總結)除錯
- mac下使用遠端桌面連線訪問windows顯示無法驗證身份解決方法MacWindows
- 檢視系統已經打過的補丁
- FFmpeg讀取Mac攝像頭的問題Mac
- 客戶端身份驗證客戶端
- Win10攝像頭打不開如何解決 win10下打不開qq影片攝像頭怎麼辦Win10
- weblogic的版本及打補丁Web
- ORACLE打補丁的方法和案例Oracle
- 批處理打補丁的方法
- 46%的本地資料庫容易受到攻擊,預計未來入侵仍會增加資料庫
- 攝像頭黑屏怎麼辦 各種攝像頭不能用的解決方法
- win10相機為什麼打不開攝像頭黑屏 win10攝像頭開啟黑屏Win10
- Android提供的攝像頭拍照Android
- 專訪模組廠商:人臉識別中單攝像頭和雙攝像頭該如何選型
- Ubiquiti使用者反映,能夠訪問他人的UniFi路由器和攝像頭UINifi路由器
- 攝像頭操作指南
- Oracle的身份驗證Oracle
- ToDesk勾上攝像頭會看到我嗎?如何關閉攝像頭
- openCV開啟高畫質攝像頭卡頓的問題OpenCV
- JBOSS未授權訪問
- 在windows上打Oracle的CPU補丁WindowsOracle
- Win10怎麼開啟攝像頭 win10開啟攝像頭的方法Win10
- oracle打補丁回顧Oracle
- Oracle EBS中打補丁Oracle
- [譯]Android的多攝像頭支援Android
- [譯] Android 的多攝像頭支援Android
- Redis遠端訪問Redis
- oracle安裝shell(未驗證)Oracle
- google瀏覽器打不開攝像頭怎麼辦 google瀏覽器無法開啟攝像頭處理方法Go瀏覽器
- Microsoft Graph for Office 365 - 身份驗證路線圖和訪問令牌ROS
- win10連線共享印表機。同時解決電腦出現“你不能訪問此共享資料夾,因為你組織的安全策略阻止未經身份驗證的來賓訪Win10
- 安卓呼叫攝像頭拍照安卓
- Android呼叫攝像頭Android