雄迈你慌不慌?900万台视频监控设备被曝DVR漏洞

栏目: 编程工具 · 发布时间: 6年前

内容简介:【天极网网络频道】据国外安全媒体securityaffairs报道,来自安全公司SEC Consult的安全专家确定,超过100家购买、重新设计由杭州雄迈科技生产制造的视频监控设备(监控摄像机、数字视频录像机DVR和网络视频录像机NVR)存在安全漏洞。目前,数百万的设备受到安全漏洞的影响,远程攻击者很容易利用这些漏洞控制设备。同时,这些漏洞可能会被用来监视不知情用户的摄像头。

【天极网网络频道】据国外安全媒体securityaffairs报道,来自安全公司SEC Consult的安全专家确定,超过100家购买、重新设计由杭州雄迈科技生产制造的视频监控设备(监控摄像机、数字视频录像机DVR和网络视频录像机NVR)存在安全漏洞。

目前,数百万的设备受到安全漏洞的影响,远程攻击者很容易利用这些漏洞控制设备。同时,这些漏洞可能会被用来监视不知情用户的摄像头。

雄迈你慌不慌?900万台视频监控设备被曝DVR漏洞

这些漏洞存在于名为“XMEye P2P Cloud”的功能中,该功能被默认启用,用于将监控设备连接到云基础架构。

“从可用性的角度看,这让用户更容易与设备交互,因为不用在相同的网络中连接到设备。此外,路由器上不需要防火墙规则、端口转发规则或DDNS设置,这让该功能对非专业用户也很方便。”SEC Consult的报告上写道。

但是,这种方法有几个安全性影响:

1. 云服务提供商获取所有数据。更多的问题:

谁运行这些服务器?

谁控制这些服务器?它们在哪里?

它们是否符合当地的管辖范围?

该服务是否符合欧盟《DGPR》?

2. 如果数据连接未正确加密,任何可以拦截连接的人都能监控所有交换的数据

3. “P2P云”的功能可绕过防火墙并有效连接到专用网络。现在,攻击者不仅可攻击有意/无意暴露于网络的设备,还可以攻击通过“P2P云”暴露的大量设备。

雄迈你慌不慌?900万台视频监控设备被曝DVR漏洞

实际上,每个设备都有一个唯一的ID,称为云ID或UID,它允许用户通过其中一个支持的应用程序连接到特定设备。

不幸的是,由于雄迈固件的分析显示它来自Mac地址,因此云ID很复杂,没法猜测正确的云ID。据SEC Consult安全专家的说法,攻击者可以猜测账户ID并访问与其他ID相关的Feed。

同时,专家还发现了许多其他安全问题。例如,所有新的XMEye账户都使用默认的管理员用户名“admin”,还没有密码。不过,最糟糕的是,安装过程不需要用户更改。

另外,专家们还发现了一个名为“default”和“tluafed”的无证用户。

雄迈你慌不慌?900万台视频监控设备被曝DVR漏洞

“除admin用户之外,默认情况下还有一个名为‘default’的未记录用户。此用户的密码是‘tluafed’(默认反向)。”报告分析说。

“我们已经确认此用户可以通过XMEye云登录设备,他甚至似乎至少拥有访问/查看视频流的权限。”

专家们还发现,可以通过固件更新在设备上执行任意代码。固件更新未签名,这意味着攻击者执行MITM攻击并冒充XMEye云以修复固件版本。

在过去几个月中,雄迈设备被卷入物联网僵尸网络,包括Mirai和Satori机器人都感染了中国公司生产的大量设备。

“自从2018年3月以来,我们与ICS-CERT合作解决了这个问题。ICS-CERT努力与雄迈和中国CNCERT/CC取得联系并告知他们这些问题。虽然雄迈科技有7个月的时间,但他们没有解决任何问题。”

SEC Consult总结道,“过去几个月的对话表明,安全根本不是他们的优先考虑。”

作者:骨傲天 责任编辑:万佳)

雄迈你慌不慌?900万台视频监控设备被曝DVR漏洞 天极新媒体 最酷科技资讯

扫码赢大奖


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

风向

风向

何宝宏 / 人民邮电出版社 / 2019-1 / ¥68.00元

★这是处于不断变化的互联网时代,行业从业者与非专业从业者都应阅读的解惑之书。 ★揭示互联网思想和精神的“内核”,帮助更多人了解互联网基因。 ★看清人工智能、区块链、大数据、云计算等技术发展的规律和机会。 ★为投资者、创业者提供方向,为广大技术从业者了解技术,为就业择业者提供建议和参考。 ★中国信通院院长刘多、腾讯云总裁邱跃鹏做序推荐。 ★中国工程院院士邬贺铨、中国科学......一起来看看 《风向》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具