吳明宜安全廠商發現,使用華為晶片的多款中國品牌影像編碼器含有多項重大安全漏洞,可讓不法之徒從遠端執行任意程式碼。但華為說漏洞和它無關。
Salesforce 首席產品安全研究員 Alexei Kojenov 本周公佈一份報告,顯示多項重大漏洞,影響搭載華為 HiSilicon hi3520d 晶片組的 IPTV/H.264/H.265 影像編碼器。他指出,所有漏洞都可由遠端開採,可導致敏感資訊外流、阻斷服務(DoS)及遠端程式碼執行,造成整台系統被接管。 HiSilicon 是由華為海思半導體的品牌名。
本文目錄
不只一個漏洞
這批漏洞包括管理員介面竊密碼後門(CVE-2020-24215)、從 telnet 存取根目錄(CVE-2020-24218)以及非授權檔案上傳(CVE-2020-24217),後者可能造成惡意程式碼執行及指令注入。這些漏洞都能讓駭客從內部或網際網路劫持編碼器硬體。
Kojenov 還發現其他中高到中度風險的漏洞,包括造成停機的緩衝溢位(CVE-2020-24214)及非授權存取 RTSP 影像串流(CVE-2020-24216)。
他分析了三家廠商,包括 URayTech 、 J-Tech Digital 和 Pro Video Instruments 的影像編碼器而發現上述漏洞。但他相信,使用同一批晶片組的產品包括 Network Technologies Incorporated 、 Oupree(歐柏瑞)、 MINE Technology(麥恩科技)、德商 Blankom 、 ISEEVY 、 Orivison 、 WorldKast/procoder 及 Digicast 也可能會有相同漏洞。其中絕多部份為中國品牌。
華為否認問題來自 HiSilicon 晶片
但華為堅持這些漏洞並非出在 HiSilicon 晶片上,也不是來自它提供給裝置製造商的 SDK 程式碼。這表示可能漏洞是出現在其他軟體,只是剛好產品都跑用這款 hi3520d 晶片而已。
卡內基美隆大學(CMU)的網路安全緊急回應小組協調中心(CERT Coordination Center)指出,這些漏洞存在使用 HiSilicon 的多個廠牌裝置上的不同網路服務上,應是軟體層的漏洞,像是輸入驗證不足,以及寫死的登入帳密等。
目前推斷,漏洞可能出在華為 HiSilicon 單系統晶片(SoC)晶片上的 Linux 堆疊之中的一個不知名廠商開發的應用軟體。 Kojenov 說,雖然大部份漏洞是無心的(如程式的 bug),但是寫死的密碼卻明顯是刻意植入的後門。
研究人員通知了多家廠商,但只有一家 Pro Video Instruments 回應並承諾修補漏洞。另一方面,他以搜尋工具 shodan.io 掃瞄了一下,發現好幾百台曝露於公開網路上的影像編碼裝置。
由於大部份產品尚未有修補程式,他建議網管人員在裝置前設立防火牆,且確保設好規則,不要讓傳輸埠曝露在網路上,以免遭不明人士存取。
來源:The Register