一次性被曝18个安全漏洞,国内网络摄像机制造商福斯康姆头大

F-Secure公司发现我国厂商福斯康姆公司(Foscam)的多款IP摄像机产品中曝出高达18项安全漏洞。这些安全漏洞早在数个月之前即被报告至厂商处,但截至目前仍无任何修复方案发布。

福斯康姆(FOSCAM)集团是一家专注于设计、研发、制造及销售网络摄像机、网络视频录像机等产品的高新技术企业。其实行全球化经营战略,营销服务网络遍及世界各地,在全球29个国家和地区注册了商标,在北美、南美、欧洲、澳洲、东南亚、印度等80多个国家和地区占有一定市场份额。

一次性被曝18个安全漏洞,国内网络摄像机制造商福斯康姆头大-E安全

黑客可以利用这些漏洞进行DDoS分布式拒绝服务袭击,查看私人视频,下载存储文件,并可能危及连接到同一本地网络中的其他设备,这些漏洞甚至可以永久替换控制照相机的正常固件, 并能在不被检测到的情况下对设备进行强制重启,事实上,利用IP摄像机发起的攻击要求设备必须进行重启。

漏洞影响多品牌摄像头
F-Secure公司强调,此次发现的18项漏洞最初源自Opticam i5与Foscam C2摄像机。

这些安全漏洞当中包含非安全默认凭证、硬编码凭证、隐藏与未记录远程登录功能、命令注入缺陷、缺少授权、不正确访问控制、跨站点脚本以及缓冲区溢出等等。这一切都在F-Secure公司于今天发布的报告(PDF格式)当中进行了详尽说明。

F-Secure公司公司网络安全专家珍尼-库汉宁(Janne Kauhanen)表示,“这些产品在设计当中忽视了安全性保障要求。开发人员的主要关注重点在于确保产品正常运行并尽快将其售出,严重忽视安全问题导致用户及其网络很可能因此面临风险。而更为讽刺的是,这种设备通常作为提升物理环境安全水平的方案进行销售,但很明显使用这些产品将严重影响到虚拟环境的安全状况。”并警告称,这些安全漏洞同样有可能存在于Foscam的其它产品线当中。

据悉,目前共有14种独立品牌实际上也是在销售福斯康姆公司制造的摄像头,即Foscam公司的摄像机以多种品牌名称进行销售,其中包括:

Chacon、Thomson、7links、Opticam、Netis、Turbox、、Novodio、Ambientcam、Nexxt、Technaxx、Qcam、Ivue、Ebode、Sab。

建议用户检查来自该制造商的全部IP摄像机。

漏洞利用实例
人们对远程设备安全性(特别是摄像机)的关注,自于Mirai僵尸网络以及有史以来针对互联网基础设施的规模最大DDoS攻击活动以来有所加强,但Foscam产品中暴露的安全漏洞在数量与严重程度上显然证明安保之路还很漫长。

F-Seucre公司高级安全顾问哈利·辛东宁(Harry Sintonen)评论认为,这些安全漏洞允许攻击者实现能够想到的几乎一切攻击活动。恶意人士可以对其进行逐个利用或者混合匹配,从而在设备及网络当中获取更高权限。”

F-Secure公司还针对这些产品提供了几项示例性攻击。例如:

未经身份验证但能够访问特定端口的用户,将可以利用命令注入向设备当中添加新的root用户,从而启用标准远程登录服务(Telnet)。在此之后,一旦通过此远程登录服务完成登录,攻击者即可获取设备上的管理员权限。

F-Secure公司在报告中解释称,FTP用户帐户上的空密码可用于实现登录。此后,攻击者将能够激活隐藏的Telnet功能,借此访问负责控制引导时自动启动的具体程序的非受限全域可写文件,最终将任意程序添加至这份列表当中。通过这种方式,攻击者将能够实现长期访问,并在设备重启后仍可快速恢复入侵能力。

漏洞进展
显然,相关修复责任应该由制造商来承担,鉴于Foscam公司尚未提供任何修复程序,而且Foscam IP摄像机仍采用硬编码凭证,攻击者能够轻松绕过各类后设置凭证,也就是说更改默认密码已经不能够起到抵御攻击者的作用了。

E安全建议用户将此类摄像机安装在专用网络或者VLAN之内,其他建议包括使用“真正随机的默认管理密码”并将密码内容贴在设备底部;删除内置凭证并采用适当的iptables防火墙。

总之,F-Secure公司建议该供应商在产品生命周期中适当引入安全流程,在设计之初就充分考虑其安全性需求。为安全需求投入必要资源正是实现竞争优势的一项重要途径。另外,对监管要求下的安全设计实践确实落实执行,亦能有助于供应商在市场当中占据有利位置。

本文转自d1net(转载)

时间: 2024-10-24 06:52:55

一次性被曝18个安全漏洞,国内网络摄像机制造商福斯康姆头大的相关文章

乌云再曝南航内部系统漏洞,可查看旅客机票所有信息

继昨天的"某招聘网站简历泄露"事件后,今天网络漏洞平台乌云又公开了一起 新的严重信息泄露事件,南方航空内部系统弱密码,导致攻击者可进入查看 旅客信息.乌云再曝南航内部系统漏洞,可查看旅客机票所有信息据漏洞显示,南航某分公司存在一个弱密码的高级账户,登陆后可查看旅客的所有信息.任意操作机票订单.免费购票等等.具体危害有:1.数万旅客信息泄露,机票所有信息(身份证--电话--住址--航程--航班)可用于机票诈骗2.任意操作 他人机票订单,退票,3.可以不要钱大量买机票,并且可以出票(屌丝的

安卓曝高危挂马漏洞,360、UC浏览器成重灾区

尽管使用"瞒天过海"的公关手段是奇虎360的惯用伎俩,但此次借助"安卓挂马漏洞"恶意抹黑竞争对手.意图掩饰自家产品问题的行为,却并没有得逞. 9月6日,乌云漏洞平台官方微博发布提醒,安卓应用挂马漏洞比想象中更严重,指出此前指责竞品存在漏洞问题的360手机浏览器同样存在问题,并提醒奇虎360官方尽快修复更新.随后,安全联盟官方微博作出回应,提醒安卓手机用户警惕中招. &http://www.aliyun.com/zixun/aggregation/37954.

多款思科小企业路由器曝出严重安全漏洞

近日,安全研究人员发现在数款思科RV系列小型企业路由器上,存在着多个严重的高危漏洞.对于其中的一些漏洞,目前厂商已经发布了更新补丁,相关设备拥有者请尽快下载安全补丁进行升级,避免受到进一步的攻击. 多款思科小企业路由器曝出严重安全漏洞 从思科发布的公告来看,目前RV110W.RV130W和RV215W等路由器中都涉及一个能够被攻击者利用的默认账户.通过该账户,攻击者可以获取路由器设备的root权限(漏洞编号CVE-2015-6397).然而一般来说,默认帐户通常应该是只读的,而不应该具有root

信用卡风险三重门:磁条卡漏洞和网络支付

磁条卡技术漏洞.网络支付风险.银行员工盗卡风险 高谈 [ 技术潮流的速度超过大家的想象.一种可能是,中国还未过渡到芯片卡时代,便直接跳入移动支付时代,即信用卡直接与手机绑定 ] 信用卡的出现,让人们不用揣着厚厚的现金到处跑,不过它也让人们的消费欲望更膨胀,更让一些"黑客"有机可乘. 上海市高级人民法院数据显示,2011年的银行金融商业纠纷案件中,信用卡纠纷案件占比为73.88%. 另外,最高人民检察院的数据显示,2006年~2010年,全国检察机关受理移送起诉的金融犯罪案件数量最多的就

上半年国内网络团购累计成交额达294.3亿元

团购导航网站团800于16日发布最新统计数据显示,今年上半年国内网络团购累计成交额达294.3亿元,创下历史新高.而团购网站数量已锐减至176家,相比2011年8月高峰时的5058家,存活率仅为3.5%. 在2011年到2013年的6个半年度中,团购市场的半年度复合增长率为44.9%.团800预测如果今年还维持该增长速度,今年上.下半年的团购成交额应分别为315.1亿元和456.4亿元.而今年上半年成交额仅为294.3亿元,比预期少了20.8亿元,如果要达到全年目标,意味着下半年成交额需达到47

今年上半年国内网络团购累计成交额达294.3亿元,创下历史新高

摘要: 团购导航网站团800于16日发布最新统计数据显示,今年上半年国内网络团购累计成交额达294.3亿元,创下历史新高.而团购网站数量已锐减至176家,相比2011年8月高峰时的5058家,存活率仅 团购导航网站团800于16日发布最新统计数据显示,今年上半年国内网络团购累计成交额达294.3亿元,创下历史新高.而团购网站数量已锐减至176家,相比2011年8月高峰时的5058家,存活率仅为3.5%. 在2011年到2013年的6个半年度中,团购市场的半年度复合增长率为44.9%.团800预测

巨人考虑《征途》转移也有平台,国内网络环境称阻扰

DoNews游戏2月27日消息 (实习记者 谭跃) 据彭程微博透露,巨人有考虑将<征途>转移到页游平台的计划,但归咎于http://www.aliyun.com/zixun/aggregation/653.html">国内网络环境,此想法暂时无法实现. 巨人副总裁彭程在回答网友微博提问时表示,巨人有把<征途>做成页游的想法,但页游注重个人成长,端游注重群体互动,如果两者无法完美结合,那对玩家来说将是不小的损失.另外彭程还强调,限制于目前国内网络环境,页游方式无法达到

大数据传播对国内网络字幕组发展的积极意义

摘要:大数据时代,大数据技术渗透到各个行业.各个领域以及人们日常生活的方方面面.随着互联网的加速发展,以互联网为平台的国内网络字幕组也受到大数据技术的影响,肩负着外国影视文化传播使者的重要责任.通过对大数据环境下国内网络字幕组特征的认识,能够了解大数据时代背景对国内网络字幕的发展所产生的积极意义. 一.大数据时代国内网络字幕组特征 人们用"大数据"这一概念来描述信息爆炸时代产生的海量数据,并命名与之相关的技术发展与创新.大数据鲜明的技术特征与传播特征,赋予了网络字幕组肥沃的发展土壤和强

国内网络支付安全总体可控

中证网讯 新华社27日举办网络支付安全学术研讨会,与会人士认为,国内网络支付仍处于培育发展阶段,风险总体可控,未来产业链各方应共同努力完善网上支付安全生态环境,建立充分保障消费者权益的风险承担机制. 目前公众对于网络支付的安全认同程度并不高.中国互联网络信息中心提供的一份调查显示,30.4%的非网上支付用户是因为感觉不安全.担心资金被盗而不使用,还有11.8%的非网上支付用户担心账户信息泄漏. 国务院发展研究中心金融研究所副所长巴曙松认为,经过近10年的发展,国内互联网支付企业,特别是市场份额较