中國監控攝影機大廠-大華IP攝影機軟體爆出漏洞可讓攻擊者控制整台裝置

中國連網攝影機業者大華被發現有軟體漏洞,可讓駭客控制整台IP攝影機。

中國連網攝影機業者大華被發現有軟體漏洞,可讓駭客控制整台IP攝影機。

最新發現的漏洞存在大華的Open Network Video Interface (ONVIF)標準實作中,編號CVE-2022-30563,CVSS風險值7.4。安全廠商Nozomi Networks是在大華特定IP攝影機發現實作的WS-UsernameToken驗證機制存在漏洞,可讓攻擊者竊取之前未加密的ONVIF互動連線,並在對攝影機新的呼叫中顯示用戶登入憑證。

ONVIF是主管IP實體安全設備如監控攝影機或存取控制設備等,如何和其他品牌產品互相溝通的開放標準組織。

利用這項漏洞,駭客只需抓取到一次未加密的ONVIF呼叫,即可取得WS-UsernameToken憑證,之後能以此對IP攝影機發送呼叫,偷偷新增管理員帳號。成功的攻擊,可讓不肖人士取得最高存取權限,包括即時讀取攝影機影像等。

受影響的軟體包括:

  •  Dahua ASI7XXX: Versions prior to v1.000.0000009.0.R.220620
  • Dahua IPC-HDBW2XXX: Versions prior to v2.820.0000000.48.R.220614
  • Dahua IPC-HX2XXX: Versions Prior to v2.820.0000000.48.R.220614

大華已經於6月釋出修補程式,呼籲用戶應儘速更新。(編按:目前國內電子商場有眾多大華監控產品

之前其他攝影設備包括Reolink、物聯智慧(ThroughTek)、Annke和安訊士(Axis)等都傳出類似漏洞,突顯物聯網攝影產品的安全風險,尤其是如果它們是架在極重要的建物內。

駭客,特別是國家駭客特別積極駭入IP攝影機,以協助蒐集目標企業的設備或是生產過程。蒐集的資訊有助於在網路攻擊前進行的偵察,並對核電廠、水力公司或國防工業設計毁滅式的攻擊行動。

此外,安全廠商NCC Group也發現智慧鎖Nuki 11項漏洞,可被用於武裝化(weaponized)以執行任意程式碼,或為DoS攻擊預開大門。本周美國網路安全暨基礎架構安全管理署(CISA)也警告工控系統(industrial control system, ICS) MOXA NPort 5110伺服器韌體2.10版兩項重大安全漏洞,可讓攻擊者變更記憶體值,使工控設備陷入癱瘓。

來源:The Hacker News

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416