原标题:国产监视器软件有漏洞!数十万台监视器恐有遭骇客控制的高风险
资安业者Tenable于周一(9/17)揭露,台湾监视器解决方案暨装置制造商京晨科技(NUUO)所生产的网络监控主机NVRMini2(NVR+NAS)含有两个安全漏洞,其中一个将允许骇客执行远端程式并掌控装置,由于还有其他第三方装置制造商也使用京晨所打造的软件,估计受害装置可能高达数十万台。
研究人员在NUUO软件中所发现的两个漏洞分别是CVE-2018-1149与CVE-2018-1150,前者属于堆叠缓冲区溢位漏洞,允许骇客执行远端程式攻击,被列为重大风险的安全漏洞,后者则是个后门漏洞。
Tenable把CVE-2018-1149漏洞命名为Peekaboo,一旦被攻陷,骇客就能存取NVRMini2装置的控制管理系统,检视所有连结该装置的监视器凭证,还能切断监视器的连线,或是窜改监视器画面,例如骇客能以静止的画面取代动态画面,就像电影情节一样。
而CVE-2018-1150则为后门漏洞,只要输入特定的档案名称就可列出系统上所有使用者的帐号,而且允许某人变更任何帐号的密码,因此,它将允许骇客襝视所有监视器的内容,查看闭录电视的纪录,或是将某个监视器移出系统等,属于中度风险漏洞。
研究人员认为CVE-2018-1150是个奇怪的漏洞,不确定是在开发时忘了移除程式码,或者是恶意加入的。
京晨科技为台湾的上市公司,也是监视器产业的知名业者,其装置或软件广泛被应用在银行、医院、学校或购物中心等地,当中的NVRMini2最多可管理16个连网监视器,也将软件授权给全球逾100个品牌及2,500种型号的监视器,使得Tenable估计全球可能有数十万监视器含有安全风险。
Tenable表示,京晨已在开发修补程式,只是迄今尚未释出,受影响的使用者可直接联系京晨,或是暂时限制相关装置的存取权限。
相关:
强化FB生态系安全新对策,第三方App有漏洞,脸书抓漏方案也给奖金!
脸书周一宣布扩大抓漏奖励计划,通报脸书平台上不当泄露用户存取权杖的第三方app及网站漏洞的研究人员也可以拿奖金了。脸书平台的存取权杖(access△token)让用户可以经由脸书帐号存取第三方app,这个权杖只专属于特
【有片睇】iOS 浏览器最新漏洞 程式码即令iPhone、iPad重新开机 | 香港 UNWIRE.HK 玩生活.乐科技
最近有资讯安全人员表示,只需要 15 行程式代码,即可让使用 iOS 系统的装置马上重新启动,而 macOS 上的 Safari 浏览器也会受到有关攻击影响。导致程式死机,没有回应。(图片来源:EverythingApplePro#YouTube)资
一周大事:推动IT转型计划,eBay要自建伺服器架构。知名浏览器扩充套件沦为骇客攻击跳板
自制伺服器是eBay转型计划的一部分,要将后端基础架构翻新现代化、重新建置,好支撑全球用户的流量。 eBay因应3年IT大转型,也要自建伺服器架构eBay宣布要推出自制伺服器,将后端基础架构翻新现代化、重新建置。其
漏洞曝光一年了,仍有20亿蓝牙装置没修恐遭BlueBorne攻击
去年9月研究人员发现BlueBorne蓝牙攻击漏洞,可让骇客在不配对或设定情况下骇入智能手机或电脑。而一年之后,安全公司发现全球仍然有20亿台装置仍然未修补漏洞。BlueBorne是去年由Armis△Labs研究人员首先揭露。它是
示意图,与新闻事件无关。 图片来源: 微软 微软于本周二(9/11)的每月例行性修补中,修补了61个安全漏洞,当中有17个属于重大(Critical)漏洞,以及一个概念性验证攻击程式已经出炉的零时差漏洞CVE-2018-8440。C