使用華為晶片的多款中國影像編碼產品有多項安全漏洞 但華為否認有關

安全廠商發現，使用華為晶片的多款中國品牌影像編碼器含有多項重大安全漏洞，可讓不法之徒從遠端執行任意程式碼。但華為說漏洞和它無關。

Salesforce首席產品安全研究員Alexei Kojenov本周公佈一份報告，顯示多項重大漏洞，影響搭載華為HiSilicon hi3520d晶片組的IPTV/H.264/H.265 影像編碼器。他指出，所有漏洞都可由遠端開採，可導致敏感資訊外流、阻斷服務（DoS）及遠端程式碼執行，造成整台系統被接管。HiSilicon是由華為海思半導體的品牌名。

不只一個漏洞

這批漏洞包括管理員介面竊密碼後門（CVE-2020-24215）、從telnet存取根目錄（CVE-2020-24218）以及非授權檔案上傳（CVE-2020-24217），後者可能造成惡意程式碼執行及指令注入。這些漏洞都能讓駭客從內部或網際網路劫持編碼器硬體。

Kojenov還發現其他中高到中度風險的漏洞，包括造成停機的緩衝溢位（CVE-2020-24214）及非授權存取RTSP影像串流（CVE-2020-24216）。

他分析了三家廠商，包括URayTech、J-Tech Digital和Pro Video Instruments的影像編碼器而發現上述漏洞。但他相信，使用同一批晶片組的產品包括Network Technologies Incorporated、 Oupree（歐柏瑞）、MINE Technology（麥恩科技）、德商Blankom、ISEEVY、Orivison、 WorldKast/procoder及Digicast也可能會有相同漏洞。其中絕多部份為中國品牌。

華為否認問題來自HiSilicon晶片

但華為堅持這些漏洞並非出在HiSilicon晶片上，也不是來自它提供給裝置製造商的SDK程式碼。這表示可能漏洞是出現在其他軟體，只是剛好產品都跑用這款hi3520d晶片而已。

卡內基美隆大學（CMU）的網路安全緊急回應小組協調中心（CERT Coordination Center）指出，這些漏洞存在使用HiSilicon的多個廠牌裝置上的不同網路服務上，應是軟體層的漏洞，像是輸入驗證不足，以及寫死的登入帳密等。

目前推斷，漏洞可能出在華為HiSilicon單系統晶片（SoC）晶片上的Linux堆疊之中的一個不知名廠商開發的應用軟體。Kojenov說，雖然大部份漏洞是無心的（如程式的bug），但是寫死的密碼卻明顯是刻意植入的後門。

研究人員通知了多家廠商，但只有一家Pro Video Instruments回應並承諾修補漏洞。另一方面，他以搜尋工具shodan.io掃瞄了一下，發現好幾百台曝露於公開網路上的影像編碼裝置。

由於大部份產品尚未有修補程式，他建議網管人員在裝置前設立防火牆，且確保設好規則，不要讓傳輸埠曝露在網路上，以免遭不明人士存取。

來源：The Register