雄迈你慌不慌？900万台视频监控设备被曝DVR漏洞

【天极网网络频道】据国外安全媒体securityaffairs报道，来自安全公司SEC Consult的安全专家确定，超过100家购买、重新设计由杭州雄迈科技生产制造的视频监控设备(监控摄像机、数字视频录像机DVR和网络视频录像机NVR)存在安全漏洞。

目前，数百万的设备受到安全漏洞的影响，远程攻击者很容易利用这些漏洞控制设备。同时，这些漏洞可能会被用来监视不知情用户的摄像头。

这些漏洞存在于名为“XMEye P2P Cloud”的功能中，该功能被默认启用，用于将监控设备连接到云基础架构。

“从可用性的角度看，这让用户更容易与设备交互，因为不用在相同的网络中连接到设备。此外，路由器上不需要防火墙规则、端口转发规则或DDNS设置，这让该功能对非专业用户也很方便。”SEC Consult的报告上写道。

但是，这种方法有几个安全性影响：

1. 云服务提供商获取所有数据。更多的问题：

谁运行这些服务器？

谁控制这些服务器？它们在哪里？

它们是否符合当地的管辖范围？

该服务是否符合欧盟《DGPR》？

2. 如果数据连接未正确加密，任何可以拦截连接的人都能监控所有交换的数据

3. “P2P云”的功能可绕过防火墙并有效连接到专用网络。现在，攻击者不仅可攻击有意/无意暴露于网络的设备，还可以攻击通过“P2P云”暴露的大量设备。

实际上，每个设备都有一个唯一的ID，称为云ID或UID，它允许用户通过其中一个支持的应用程序连接到特定设备。

不幸的是，由于雄迈固件的分析显示它来自Mac地址，因此云ID很复杂，没法猜测正确的云ID。据SEC Consult安全专家的说法，攻击者可以猜测账户ID并访问与其他ID相关的Feed。

同时，专家还发现了许多其他安全问题。例如，所有新的XMEye账户都使用默认的管理员用户名“admin”，还没有密码。不过，最糟糕的是，安装过程不需要用户更改。

另外，专家们还发现了一个名为“default”和“tluafed”的无证用户。

“除admin用户之外，默认情况下还有一个名为‘default’的未记录用户。此用户的密码是‘tluafed’(默认反向)。”报告分析说。

“我们已经确认此用户可以通过XMEye云登录设备，他甚至似乎至少拥有访问/查看视频流的权限。”

专家们还发现，可以通过固件更新在设备上执行任意代码。固件更新未签名，这意味着攻击者执行MITM攻击并冒充XMEye云以修复固件版本。

在过去几个月中，雄迈设备被卷入物联网僵尸网络，包括Mirai和Satori机器人都感染了中国公司生产的大量设备。

“自从2018年3月以来，我们与ICS-CERT合作解决了这个问题。ICS-CERT努力与雄迈和中国CNCERT/CC取得联系并告知他们这些问题。虽然雄迈科技有7个月的时间，但他们没有解决任何问题。”

SEC Consult总结道，“过去几个月的对话表明，安全根本不是他们的优先考虑。”

（ 作者：骨傲天 责任编辑：万佳）

天极新媒体 最酷科技资讯

扫码赢大奖