中国Foscam制造的IP摄像机存在大量漏洞,且未被修复

简介: 本文讲的是中国Foscam制造的IP摄像机存在大量漏洞,且未被修复,近日,中国Foscam公司制造的IP摄像机被曝存在多个安全漏洞。而在几个月前,这些漏洞信息就已经提交给了制造商,只是至今未曾修复。此外,还有其他一些品牌会销售Foscam制造摄像机,如OptiCam。
本文讲的是 中国Foscam制造的IP摄像机存在大量漏洞,且未被修复

中国Foscam制造的IP摄像机存在大量漏洞,且未被修复

近日,中国Foscam公司制造的IP摄像机被曝存在多个安全漏洞。而在几个月前,这些漏洞信息就已经提交给了制造商,只是至今未曾修复。此外,还有其他一些品牌会销售Foscam制造摄像机,如OptiCam。所以,建议用户检查自家使用的IP摄像机的制造商,如有必要,请立即采取缓解措施,将损害降到最低。

Foscam制造的摄像机存在18个安全漏洞

据悉,这些漏洞是由F-Secure公司安全研究人员发现的,共计18个,主要存在于Opticam i5和Foscam C2摄像机中。但是,F-Secure研究人员警告称,这些漏洞可能遍布整个Foscam产品线,而且可能其所有14个独立品牌下销售的Foscam制造的摄像机也存在安全问题。

F-Secure得知,目前至少有14个其他品牌正在销售Foscam制造的设备,大家可以自行检查:

Chacon
Thomson
7links
Opticam
Netis
Turbox
Novodio
Ambientcam
Nexxt
Technaxx
Qcam
Ivue
Ebode
Sab

这些安全漏洞包括不安全的默认凭证、硬编码凭证、隐藏和未记录的Telnet功能、命令注入缺陷、缺少授权、访问控制不当、跨站点脚本以及缓冲区溢出漏洞等。所有这些漏洞信息都在今天发布的报告中进行了详细说明。

中国Foscam制造的IP摄像机存在大量漏洞,且未被修复

【全球各地成千上万的设备面临威胁】

F-Secure的网络安全专家Janne Kauhanen表示:

在这些产品的设计过程中,安全性被抛之脑后,开发人员只关心能够尽快地将产品推出市场供用户使用。但是,这种对安全性的关注不足使得使用者面临着严重的安全风险。

如今,谈到远程设备(特别是摄像机)安全性的问题。人们更多关注的可能是未来会由此组建的僵尸网络以及进一步实施的大规模DDoS攻击,但是现在,单单只说Foscam漏洞的数量和严重程度就已经足够引发关注和担忧。

发现这些漏洞的F-Secure高级安全顾问Harry Sintonen评论说:

这些漏洞的糟糕程度难以想象,它们允许攻击者做任何想做的事,攻击者可以逐个利用它们,或是混合使用,以便在设备和网络系统中获取更大程度的权限。

F-Secure还在报告中提供了几个示例攻击。例如,未经身份验证的用户能够访问特定端口,可以使用命令注入为设备添加新的root用户,并启用标准的远程登录服务(Telnet)。然后,当通过此远程登录服务登录时,他们就有了设备的管理员权限。

第二个攻击示例中,攻击者可以使用三个单独的漏洞实施攻击。F-Secure的报告解释说:

FTP用户帐户上的空密码可以用于登录,随后隐藏的Telnet功能就可以被激活。之后,攻击者可以访问全域可写(world-writable)文件(控制哪些程序可以在启动时运行),然后将自己添加到列表之中。这样一来,即使设备重新启动,攻击者依然可以进行持续访问。

安全建议

目前,由于Foscam尚未提供修补程序,因此F-Secure建议用户只能将摄像机安装在专用网络或VLAN内。它还指出,在此次问题中,更改默认密码并不能增强安全性,因为“由于Foscam IP摄像机使用了硬编码凭证,在这种情况下,攻击者可以绕过凭证。”

当然,修复责任仍然是属于制造商的。F-Secure为Foscam列出了12条建议,包括安装“真正随机的默认管理密码”、删除内置的凭证以及执行适当的iptables防火墙等。

概括来说,F-Secure建议供应商应该一开始就将产品的安全性考虑到设计过程中。该报告指出,

拥有产品安全流程,并将适量的资源投入到安全中是与竞争对手拉开差距的重要因素。而对安全设计实践过程进行有效的监管也是帮助供应商获取优势的重要步骤。

关于Foscam

福斯康姆(FOSCAM)是一家专注于设计、研发、制造及销售网络摄像机、网络视频录像机等产品的国家级高新技术企业。旗下包括福斯康姆、福智达两家全资子公司和一家分公司——光明分公司。

今年年初,Foscam成功获得数千万A轮融资,并将其用于布局智能安防全产业链,打造专业化一站式安防解决方案。




原文发布时间为:2017年6月8日
本文作者:小二郎 
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
4月前
|
存储 SQL 安全
数字堡垒的裂缝:网络安全漏洞与信息保护的现代策略
随着数字化时代的深入发展,网络安全和信息安全成为维护个人隐私与企业资产的关键。本文将探讨当前网络环境中存在的安全威胁,包括软件漏洞、加密技术的演进以及提升安全意识的重要性。通过分析近期的安全事件和技术进展,我们将提供实用的防护措施和建议,旨在为读者构建一个更安全的数字生活和工作环境。
|
SQL 安全 前端开发
信息服务上线渗透检测网络安全检查报告和解决方案
信息服务上线渗透检测网络安全检查报告和解决方案
201 0
|
安全 搜索推荐 网络安全
警告!你的网站是否处在危险边缘?
警告!你的网站是否处在危险边缘?
207 0
警告!你的网站是否处在危险边缘?
|
SQL 安全 测试技术
网站漏洞渗透检测过程与修复方案
网站的渗透测试简单来 说就是模拟攻击者的手法以及攻击手段去测试网站的漏洞,对网站进行渗透攻击测试,对网站的代码漏洞进行挖掘,上传脚本文件获取网站的控 制权,并对测试出来的漏洞以及整体的网站检测出具详细的渗透测试安全报告。
272 0
网站漏洞渗透检测过程与修复方案
|
安全 Windows 网络安全
高危预警|RDP漏洞或引发大规模蠕虫爆发,用户可用阿里云免费检测服务自检,建议尽快修复
阿里云安全中心免费提供服务器漏洞检测,支持Windows和Linux漏洞检测,支持云上主机和线下机房服务器的安全检测,助力企业做好安全预防。
6252 0
|
Web App开发 安全 搜索推荐
Check Point:神秘中国公司制作恶意广告软件,感染全球超2.5亿台设备
本文讲的是Check Point:神秘中国公司制作恶意广告软件,感染全球超2.5亿台设备,近日,Check Point公司的安全研究人员发现了一个大规模的恶意软件运动,已经成功感染了全球超过2.5亿台计算机设备,其中包括Windows和macOS系统,完全有可能引发新一轮“全球性灾难”。
1680 0
|
安全 数据安全/隐私保护
趋势科技警告:CAN标准存在漏洞,联网汽车可被远程操控
本文讲的是趋势科技警告:CAN标准存在漏洞,联网汽车可被远程操控,事实上,最近几年研究人员和工程师已经找到了很多种入侵现代互联网汽车的方法,并且被记录和报告过多次。查理·米勒和克里斯·瓦拉斯克(Chris Valasek)就曾发现过一个杰出的案例。
1546 0
|
安全 Windows
美国政府警告:西门子医疗扫描设备存在多处漏洞
本文讲的是美国政府警告:西门子医疗扫描设备存在多处漏洞,近日,据外媒报道称,德国西门子医疗扫描设备存在高风险漏洞,允许未经身份验证的黑客在设备上执行任意恶意代码。
1330 0
下一篇
DataWorks