三星智能摄像头存在漏洞 可被黑获得root权限

简介:

安全人员在三星智能摄像头当中发现一个新的安全漏洞,攻击者借此可以获得root权限,并且远程运行命令。三星智能摄像头从本质上讲是一个IP摄像头,它允许用户从任何地点使用三星自家的服务连接并查看实时视频或记录事件。它提供了无缝的婴儿或宠物监控,企业和家庭的安全监控。

exploitee.rs网站公布了三星智能摄像头当中存在的一个漏洞,可以允许攻击者使用三星上次为三星智能摄像头修复漏洞而无意留下的一个web服务器,获得对设备的root访问权限。

具体而言,三星试图通过去除本地网络接口,并迫使用户访问SmartCloud网站来修复设备的安全漏洞,但在同一时间,该公司还继续让服务器功能在本地运行。而事实证明,一个可能的漏洞使攻击者通过推送定制固件文件连接到这个Web界面。

该IWATCH install.php漏洞可以通过制定专门的文件名,然后存储在PHP系统调用tar命令加以利用。由于Web服务器作为root运行,文件名由用户提供,输入时没有安全处理,黑客可以内注入自己的命令来实现root远程命令执行。

目前,三星尚未出台新的漏洞补丁来修复智能摄像头存在的这个漏洞。

本文转自d1net(转载)

相关文章
|
安全 网络安全 数据安全/隐私保护
中国Foscam制造的IP摄像机存在大量漏洞,且未被修复
本文讲的是中国Foscam制造的IP摄像机存在大量漏洞,且未被修复,近日,中国Foscam公司制造的IP摄像机被曝存在多个安全漏洞。而在几个月前,这些漏洞信息就已经提交给了制造商,只是至今未曾修复。此外,还有其他一些品牌会销售Foscam制造摄像机,如OptiCam。
1527 0
|
Web App开发 安全 搜索推荐
Check Point:神秘中国公司制作恶意广告软件,感染全球超2.5亿台设备
本文讲的是Check Point:神秘中国公司制作恶意广告软件,感染全球超2.5亿台设备,近日,Check Point公司的安全研究人员发现了一个大规模的恶意软件运动,已经成功感染了全球超过2.5亿台计算机设备,其中包括Windows和macOS系统,完全有可能引发新一轮“全球性灾难”。
1669 0
|
安全 Shell Linux
攻击场景还原:本地ROOT Moto G4 & G5设备(附利用代码)
本文讲的是攻击场景还原:本地ROOT Moto G4 & G5设备(附利用代码),在之前的文章中,我们曾提到CVE-2016-10277可能会影响其他摩托罗拉设备。而在Twitter上收到一些相关的报告之后,我们购买了摩托罗拉的几台设备,并且更新到最新的可用版本以进行此次的测试。
1659 0