内容简介:【天极网网络频道】据国外安全媒体securityaffairs报道,来自安全公司SEC Consult的安全专家确定,超过100家购买、重新设计由杭州雄迈科技生产制造的视频监控设备(监控摄像机、数字视频录像机DVR和网络视频录像机NVR)存在安全漏洞。目前,数百万的设备受到安全漏洞的影响,远程攻击者很容易利用这些漏洞控制设备。同时,这些漏洞可能会被用来监视不知情用户的摄像头。
【天极网网络频道】据国外安全媒体securityaffairs报道,来自安全公司SEC Consult的安全专家确定,超过100家购买、重新设计由杭州雄迈科技生产制造的视频监控设备(监控摄像机、数字视频录像机DVR和网络视频录像机NVR)存在安全漏洞。
目前,数百万的设备受到安全漏洞的影响,远程攻击者很容易利用这些漏洞控制设备。同时,这些漏洞可能会被用来监视不知情用户的摄像头。
这些漏洞存在于名为“XMEye P2P Cloud”的功能中,该功能被默认启用,用于将监控设备连接到云基础架构。
“从可用性的角度看,这让用户更容易与设备交互,因为不用在相同的网络中连接到设备。此外,路由器上不需要防火墙规则、端口转发规则或DDNS设置,这让该功能对非专业用户也很方便。”SEC Consult的报告上写道。
但是,这种方法有几个安全性影响:
1. 云服务提供商获取所有数据。更多的问题:
谁运行这些服务器?
谁控制这些服务器?它们在哪里?
它们是否符合当地的管辖范围?
该服务是否符合欧盟《DGPR》?
2. 如果数据连接未正确加密,任何可以拦截连接的人都能监控所有交换的数据
3. “P2P云”的功能可绕过防火墙并有效连接到专用网络。现在,攻击者不仅可攻击有意/无意暴露于网络的设备,还可以攻击通过“P2P云”暴露的大量设备。
实际上,每个设备都有一个唯一的ID,称为云ID或UID,它允许用户通过其中一个支持的应用程序连接到特定设备。
不幸的是,由于雄迈固件的分析显示它来自Mac地址,因此云ID很复杂,没法猜测正确的云ID。据SEC Consult安全专家的说法,攻击者可以猜测账户ID并访问与其他ID相关的Feed。
同时,专家还发现了许多其他安全问题。例如,所有新的XMEye账户都使用默认的管理员用户名“admin”,还没有密码。不过,最糟糕的是,安装过程不需要用户更改。
另外,专家们还发现了一个名为“default”和“tluafed”的无证用户。
“除admin用户之外,默认情况下还有一个名为‘default’的未记录用户。此用户的密码是‘tluafed’(默认反向)。”报告分析说。
“我们已经确认此用户可以通过XMEye云登录设备,他甚至似乎至少拥有访问/查看视频流的权限。”
专家们还发现,可以通过固件更新在设备上执行任意代码。固件更新未签名,这意味着攻击者执行MITM攻击并冒充XMEye云以修复固件版本。
在过去几个月中,雄迈设备被卷入物联网僵尸网络,包括Mirai和Satori机器人都感染了中国公司生产的大量设备。
“自从2018年3月以来,我们与ICS-CERT合作解决了这个问题。ICS-CERT努力与雄迈和中国CNCERT/CC取得联系并告知他们这些问题。虽然雄迈科技有7个月的时间,但他们没有解决任何问题。”
SEC Consult总结道,“过去几个月的对话表明,安全根本不是他们的优先考虑。”
( 作者:骨傲天 责任编辑:万佳)
天极新媒体 最酷科技资讯
扫码赢大奖
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- BUF早餐铺 | 900万台国产视频监控设备被指存在漏洞;Gallmaker网络犯罪集团崛起;关于微软多个安全...
- 油罐监控设备存在严重漏洞,可远程接管Web后台
- Zabbix自动监控网络设备Juniper防火墙
- Zabbix自动监控网络设备Juniper防火墙
- 分布式监控系统 WGCLOUD v3.3.3 发布,新增支持数通设备监测
- “驱动人生”变木马?2小时就感染10万台电脑
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。