資安業者Tenable於周一(9/17)揭露,台灣監視器解決方案暨裝置製造商京晨科技(NUUO)所生產的網路監控主機NVRMini2(NVR+NAS)含有兩個安全漏洞,其中一個將允許駭客執行遠端程式並掌控裝置,由於還有其他第三方裝置製造商也使用京晨所打造的軟體,估計受害裝置可能高達數十萬台。

研究人員在NUUO軟體中所發現的兩個漏洞分別是CVE-2018-1149與CVE-2018-1150,前者屬於堆疊緩衝區溢位漏洞,允許駭客執行遠端程式攻擊,被列為重大風險的安全漏洞,後者則是個後門漏洞。

Tenable把CVE-2018-1149漏洞命名為Peekaboo,一旦被攻陷,駭客就能存取NVRMini2裝置的控制管理系統,檢視所有連結該裝置的監視器憑證,還能切斷監視器的連線,或是竄改監視器畫面,例如駭客能以靜止的畫面取代動態畫面,就像電影情節一樣。

而CVE-2018-1150則為後門漏洞,只要輸入特定的檔案名稱就可列出系統上所有使用者的帳號,而且允許某人變更任何帳號的密碼,因此,它將允許駭客襝視所有監視器的內容,查看閉錄電視的紀錄,或是將某個監視器移出系統等,屬於中度風險漏洞。

研究人員認為CVE-2018-1150是個奇怪的漏洞,不確定是在開發時忘了移除程式碼,或者是惡意加入的。

京晨科技為台灣的上市公司,也是監視器產業的知名業者,其裝置或軟體廣泛被應用在銀行、醫院、學校或購物中心等地,當中的NVRMini2最多可管理16個連網監視器,也將軟體授權給全球逾100個品牌及2,500種型號的監視器,使得Tenable估計全球可能有數十萬監視器含有安全風險。

Tenable表示,京晨已在開發修補程式,只是迄今尚未釋出,受影響的使用者可直接聯繫京晨,或是暫時限制相關裝置的存取權限。

9/20更新:京晨科技已於9/19緊急釋出修補程式


Advertisement

更多 iThome相關內容