原标题:研究人员:大华DVR与IP摄影机可被轻易攻陷,迫使大华紧急释出更新
示意图,与新闻事件无关。
图片来源:大华
中国製造商大华(Dahua)在本周修补了旗下11款数位录放影机(DVR)及IP摄影机的安全漏洞。发现相关漏洞的安全研究人员Bashis宣称只要几秒钟就能透过相关漏洞登入这些装置,且他还释出了概念性验证程式,迫使大华在隔天即释出韧体更新。
Bashis表示,他不敢相信有这幺容易破解的装置,因为大华把DVR与IP摄影机的配置存放在网路伺服器上,任何知道这些装置IP位址的人都能直接下载配置档案,配置档中内含所有可存取该装置的帐号资讯。
因此,要攻陷装置很简单,先从远端下载配置档之后,选择管理员权限的帐号及杂凑密码,再于装置登入页面上直接贴上帐号与密码就大功告成了。
Bashis相信这是大华故意留下的后门,而且他说自己的原则是先通知社群再通知製造商,因为他不想听到製造商的藉口或试图叫他闭嘴之类的。
大华则说这是程式码的疏失,并不是故意的,也在隔天就释出了11款装置的韧体更新,同时澄清这些装置并未遭到任何的恶意攻击。由于可能有更多的大华装置受到波及,预期大华近期会陆续更新其他装置的韧体,资安业者则呼吁相关装置用户要儘速修补。
大华公布受影响的11款装置:
相关:
研究人员利用JavaScript破解22款CPU的ASLR保护
示意图,与新闻事件无关。 来自阿姆斯特丹自由大学系统及网路安全小组(Systems and Network Security Group at Vrije Universiteit Amsterdam ,VUSec)的研究人员周三(2/15)揭露了一项攻击技术,可绕过22款处理
资料来源:GDI基金会,iThome整理製图,2017年1月 去年12月27日,一名资安研究员Victor Gevers揭露了一种新型态的勒索攻击手法,出现了一个专门绑架MongoDB的骇客团体Harak1r1。没想到,这波勒索攻击变本加厉,才过
示意图,与新闻事件无关。 正在开发行动程式分析服务verify.ly的资安研究人员Will Strafach周二(2/7)指出,他发现苹果的App Store上有76款iOS程式在应该受到TLS加密保护时允许中间人攻击,让骇客得以拦截或操纵传
示意图,与新闻事件无关。 图片来源: Netgear 来自Trustwave的安全研究人员Simon Kenin于本周披露,Netgear旗下的31款路由器含有密码外洩漏洞,若未波及上百万台也至少影响数十万台的Netgear装置。Netgear则已释出
水产养殖新利器 国研院和中山大学合作研发出“高解析度即时水下摄影机”
渔民再也不需土法炼钢,定期将鱼虾打捞起来观察其生长状况!国家实验研究院台湾海洋科技研究中心与国立中山大学团队共同研发“高解析度即时水下摄影机”,让养殖户在混濁的渔塭里,就能即时掌握鱼虾的生长状况。高雄