圖片來源: 

F-Secure

安全業者芬安全(F-Secure)周三警告,中國網路攝影機業者Foscam至少有二款系列產品存在十多項漏洞,給予駭客竊取影像或攻擊其他連網裝置的機會。研究人員擔心其他10多個品牌也難倖免。 

F-Secure研究人員檢視Foscam旗下Opticam i5 HD及Foscam C2二款產品線,在Opticam i5發現到18項安全漏洞,而C2也有其中多項漏洞。這些漏洞有的讓攻擊者讀取到影像、控制相機運作、或是從內建FTP伺服器下載檔案,輕則導致無法錄影,重則利用這些攝影機進行DDoS或其他惡意活動。 

這些漏洞包括:不安全的預設密碼,像是採用非隨機或空白密碼;將FTP伺服器或網頁登入資料寫死而無法為用戶變更;隱藏的Telnet功能給予攻擊者入侵裝置或區域網路;指令碼注入漏洞;防火牆存取控制不當,使攝影機所在IP位址能仍為telnet、RTSP、FTP、ONVIF等協定存取;堆疊緩衝溢位漏洞;跨站指令碼(XSS)漏洞。另外,還有多項漏洞與網站資源的存取驗證不足或不當有關。 

研究人員舉例,藉由FTP空白密碼的漏洞,任何人都可以發動指令碼注入攻擊,為裝置加入一名根目錄使用者,並啟用標準遠端登入服務(Telnet),最後只要攻擊者利用Telnet遠端登入,即可獲取裝置的管理員權限。 

安全研究人員表示,由於Foscam至少還有其他14個品牌,因此不排除也會有上述漏洞帶來的風險。 

F-Secure表示數月前已通知Foscam但至今未見修補漏洞。而雖然F-Secure已經成功入侵這些機器,但因為尚未有修補方案,該公司也拒絕公佈其概念驗證攻擊程式。 

網路攝影機被入侵的案例屢見不鮮。去年九月曾有逾14萬台網路攝影機被用來發動史上最大DDoS攻擊。並有中國製網路攝影機成為駭客攻擊物聯網的跳板。友訊也因為連網攝影機安全性問題,今年初遭到美國政府告上法院


Advertisement

更多 iThome相關內容