使用華為晶片的多款中國影像編碼產品有多項安全漏洞 但華為否認有關

安全廠商發現,使用華為晶片的多款中國品牌影像編碼器含有多項重大安全漏洞,可讓不法之徒從遠端執行任意程式碼。但華為說漏洞和它無關。

安全廠商發現,使用華為晶片的多款中國品牌影像編碼器含有多項重大安全漏洞,可讓不法之徒從遠端執行任意程式碼。但華為說漏洞和它無關。

Salesforce首席產品安全研究員Alexei Kojenov本周公佈一份報告,顯示多項重大漏洞,影響搭載華為HiSilicon hi3520d晶片組的IPTV/H.264/H.265 影像編碼器。他指出,所有漏洞都可由遠端開採,可導致敏感資訊外流、阻斷服務(DoS)及遠端程式碼執行,造成整台系統被接管。HiSilicon是由華為海思半導體的品牌名。

不只一個漏洞

這批漏洞包括管理員介面竊密碼後門(CVE-2020-24215)、從telnet存取根目錄(CVE-2020-24218)以及非授權檔案上傳(CVE-2020-24217),後者可能造成惡意程式碼執行及指令注入。這些漏洞都能讓駭客從內部或網際網路劫持編碼器硬體。

Kojenov還發現其他中高到中度風險的漏洞,包括造成停機的緩衝溢位(CVE-2020-24214)及非授權存取RTSP影像串流(CVE-2020-24216)。

他分析了三家廠商,包括URayTech、J-Tech Digital和Pro Video Instruments的影像編碼器而發現上述漏洞。但他相信,使用同一批晶片組的產品包括Network Technologies Incorporated、 Oupree(歐柏瑞)、MINE Technology(麥恩科技)、德商Blankom、ISEEVY、Orivison、 WorldKast/procoder及Digicast也可能會有相同漏洞。其中絕多部份為中國品牌。

華為否認問題來自HiSilicon晶片

但華為堅持這些漏洞並非出在HiSilicon晶片上,也不是來自它提供給裝置製造商的SDK程式碼。這表示可能漏洞是出現在其他軟體,只是剛好產品都跑用這款hi3520d晶片而已。

卡內基美隆大學(CMU)的網路安全緊急回應小組協調中心(CERT Coordination Center)指出,這些漏洞存在使用HiSilicon的多個廠牌裝置上的不同網路服務上,應是軟體層的漏洞,像是輸入驗證不足,以及寫死的登入帳密等。

目前推斷,漏洞可能出在華為HiSilicon單系統晶片(SoC)晶片上的Linux堆疊之中的一個不知名廠商開發的應用軟體。Kojenov說,雖然大部份漏洞是無心的(如程式的bug),但是寫死的密碼卻明顯是刻意植入的後門。

研究人員通知了多家廠商,但只有一家Pro Video Instruments回應並承諾修補漏洞。另一方面,他以搜尋工具shodan.io掃瞄了一下,發現好幾百台曝露於公開網路上的影像編碼裝置。

由於大部份產品尚未有修補程式,他建議網管人員在裝置前設立防火牆,且確保設好規則,不要讓傳輸埠曝露在網路上,以免遭不明人士存取。

來源:The Register

 

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416