E 安全 3 月 22 日讯 德国 Geutebrück 网络摄像头被曝多个漏洞, 但研究人员怀疑其它厂商 (GanzCapVisualintTHRIVE Intelligence 和 UDP Technology) 的网络摄像头也在使用同样的固件, 也可能受这些漏洞威胁
研究人员目前只能证实这些漏洞影响了 Geutebrück G-Cam/EFD-2250 和 Topline TopFD-2125 网络摄像头这两款产品均已停产, 但 Geutebrück 为此已针对较新的 G-Cam 系列产品发布了固件版本 1.12.0.19, 以修复漏洞
存在多项高危漏洞
虽然路由器网络摄像头和其它智能设备的安全漏洞不少, 但这次漏洞较为严重, 所有漏洞评分均介于 8.3-9.8 分区间, 属于高危漏洞
德国工业控制系统网络应急响应小组 (简称 ICS-CERT) 的专家评估这些漏洞表示, 这些漏洞可通过互联网被远程利用, 即便是低技能的黑客也能加以利用
值得注意的是, 很少在同样的设备上发现如此多不同类型的漏洞: SQL 注入漏洞, 跨站请求伪造 (CSRF) 漏洞, 服务器端请求伪造 (SSRF) 漏洞, 不正确的身份验证和访问控制漏洞
ICS-CERT 于当地时间 3 月 20 日发布漏洞公告表示, 黑客可利用这些漏洞扫描代理网络访问数据库, 将未经授权的用户添加到系统中, 下载完整的配置 (包括密码) 以及执行远程代码
这些漏洞是帮助物联网僵尸网络存活的福音目前, 网上尚未出现公开的利用代码, 但这只是时间问题通常, 重大漏洞披露后几天之内, 网上就会出现利用代码
专家建议用户, 在未安全固件更新的情况下, 勿将这些网络摄像头联网固件更新可在 Geutebrück 网站获取(https://www.geutebrueck.com/en_EN/login.html)
来源: http://jaq.alibaba.com/community/art/show?articleid=1572