http://p5.qhimg.com/t016538bf88e8e52fca.png

翻译:360代码卫士

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


前言

Bitdefender发布报告称,约17.5万台由深圳市丽欧电子有限公司制造的联网安全摄像头存在多处安全漏洞。

约17.5万台中国联网安全摄像头可轻易被黑

深圳市丽欧电子有限公司提供监控和安全解决方案,包括IP摄像头、传感器和报警器。专家在由该公司生产的型号为iDoorbell和NIP-22两款摄像头中发现了多个缓冲溢出漏洞。不过研究人员认为该公司的其它型号摄像头也存在安全问题,因为它们使用的是相同的固件。专家指出,“在某些情况下,这些漏洞能导致在设备上执行远程代码。这种类型的漏洞同样出现在控制传感器和报警器的网关上。”

这些安全摄像头使用UPnP来自动打开路由器防火墙中的端口以便从互联网访问。根据Shodan搜索引擎搜索的存在漏洞的设备结果来看,研究人员在全球发现了10万台至14万台易受攻击的设备。

报告指出,“搜索HTTP网络服务器时发现10万至14万台设备,搜索RTSP服务器(均易受攻击)时发现的设备数量也类似。这些设备并不一定是相同的设备,因为某些设备只提供一种服务。我们预计设备的真实数量约为17.5万台。”

专家注意到这两种安全摄像头型号易受两种不同类型网络攻击的影响。一种攻击影响运行在摄像头上的网络服务器,另外一种影响RSTP(实时流协议)服务器。

研究人员演示称,利用安全摄像头中的缺陷非常容易,任何人只要以默认凭证(即用户名和密码是 “user” 和 “user” 以及 “guest” 和 “guest”)登录就能入侵访问实时流的权限。

研究人员还发现了一个可以利用的摄像头缓冲溢出漏洞。

后记

目前,深圳市丽欧电子有限公司并未就此事置评。

文章原文链接:https://www.anquanke.com/post/id/86556