您现在的位置:返回首页
未更新固件超八万台海康威视摄像机可能被利用
安全研究人员发现超过八万台海康威视摄像机尚未更新固件,容易受到关键命令注入漏洞的影响。攻击者可将特定的消息发送至易受攻击的Web服务器,即可轻松利用该漏洞,并发起命令注入攻击。
2021年6月,网络安全研究机构Watchful IP首次发现了该漏洞,编号为CVE-2021-36260,同月,海康威视通过固件更新解决了这一问题。
但是,这并不意味着这一漏洞已经失去了效果。根据 CYFIRMA 发布的白皮书,全球100 个国家/地区的2300个正在使用受影响摄像机的组织,并未及时对固件进行安全更新,仍然处于被攻击者的威胁之中。
公开信息显示,CVE-2021-36260一共包含两个已知的公开漏洞,一个在2021 年 10 月发布,另一个在2022 年 2 月发布,因此所有技能水平的攻击者都可以轻松地搜索和利用易受攻击的摄像头。
截止到目前,安全研究人员已经观察到,大量有效载荷试图利用此漏洞来探测设备状态或从受害者那里提取敏感数据。更糟糕的是,一个名为Moobot的恶意僵尸网络正在试图大规模利用该漏洞,这很有可能会引起更严重的网络攻击和信息泄露。因为Moobot是一基于Mirai开发的僵尸网络家族,自从其出现就一直很活跃,并且拥有零日漏洞利用的能力。
为此,海康威视强烈督促用户及时更新固件,2022年年初,CISA也曾发布警告称,CVE-2021-36260 是当时发布的列表中被积极利用的漏洞之一,攻击者可以“控制”设备,要求组织立即修补漏洞。
CYFIRMA表示,出售网络入口点最多的是讲俄语的黑客论坛,这些入口点其中一大部分依赖于那些可用于僵尸网络或横向移动的,存在漏洞的海康威视摄像机。
安全研究人员对285000个面向互联网的海康威视Web服务器的样本进行分析之后,得出的结论是仍有超过8万个摄像机容易遭受网络攻击,并广泛分布于全球各个地方。其中数量分布最多的是中国和美国,此外还有越南、英国、乌克兰、泰国、南非、法国、荷兰和罗马尼亚等国家,未更新固件的摄像机均超过2000个。
虽然该漏洞的利用目前并未遵循特定模式,但是已经有不少攻击者参与其中。而用户想要避免被攻击者威胁,最好的办法就是立即更新固件,修复这一漏洞。倘若继续任由该漏洞存在,很有可能造成严重后果。
同时安全专家还进一步强调,用户应提升网络安全意识。除了上述命令注入漏洞外,研究员还发现很多时候用户图方便而将密码设置成“123456”等弱密码,或者是直接使用生产厂商的初始密码。
而这些日常的操作会让厂商的安全措施毁于一旦,哪怕是再好的安全产品,也无法彻底改变用户不安全的使用习惯。
更多相关资讯
推荐内容
MORE- (04-07) 说说顽固性痰咳的气道高反应
- (08-19) 12级台风海高斯登陆珠海 台风最新
- (10-16) 有哪些靠谱的二手交易平台?95分闲
- (03-04) 奥克利不满NBA联盟调解 仍未和尼克
- (07-04) 超350头大象近期突然集体神秘死亡
- (11-27) 香港上市公司嘉利国际荣获2020杰出
- (11-22) 扶貧快車上的“潤滑劑”
- (01-14) 洛城德比战 快船队雷迪克确认复出
- (02-16) 篮球盛宴腾讯视频TV端直击NBA全明
- (08-20) 中菌特色肥智能化升级开先河
- (04-15) 马刺官方Instagram发布队史对阵步
- (04-30) 骑士祸不单行:勒夫伤情不乐观 史
- (11-04) 关于小皇叔侧耳听风背后的逻辑是什
- (07-10) “毋以小益而不修毋以小损而不防”
- (06-27) 艺视21届志愿填报指导丨考进梦想象
- (01-21) 宁波算山码头吞吐量破6亿吨刷新纪
- (01-18) 备好药物应对感冒流感与疫情散发
- (01-31) 作品档案之番号MGS视频 韩国美女
- (08-02) 山东:禁止组团赴中高风险地区旅游
- (05-04) NBA周四303推荐:勇士 VS 快船
- (09-26) 几十位明星主演打败好莱坞大片这部
- (01-13) 作品档案之番号RKI-351 可愛いすぎ
- (08-23) 快来看看这些地方的脱贫经是怎么念
- (11-17) 愈快乐愈堕落qvod可以这样解读吗?
- (01-28) 快船将不续签达柳斯-莫里斯
- (08-22) 一文带你了解重汽豪沃TX车型怎么样
- (07-14) 拉姆斯菲尔德其人其事
- (07-02) 股市正做“M头”还是筑“W底”?
- (07-28) 爷爷端菜式抱娃 具体怎么回事?
- (02-16) NBA15年后再现扣篮之神 拉文定律
- (06-15) 屈原故里端午习俗“活”起来
- (05-18) 几千元的代餐食品几万元的减重手术
- (09-22) 骑行趋热买辆称心车不易
- (06-10) 六省十市群众艺术展演在临沂成功举
- (07-13) 女孩餐厅吃饭疑遭男伴暗中下药 人
- (07-14) 北京不为职工开公积金账户罚5万 具
- (08-08) 最新上海市电动车上牌******一览
- (11-17) 丹阳假日网校这是不是真相?
- (12-30) 正确使用标点符号之问号、顿号、引
- (08-26) 又来利好了_贵州茅台