近日,中国Foscam公司制造的IP摄像机被曝存在多个安全漏洞。而在几个月前,这些漏洞信息就已经提交给了制造商,只是至今未曾修复。此外,还有其他一些品牌会销售Foscam制造摄像机,如OptiCam。所以,建议用户检查自家使用的IP摄像机的制造商,如有必要,请立即采取缓解措施,将损害降到最低。
Foscam制造的摄像机存在18个安全漏洞
据悉,这些漏洞是由F-Secure公司安全研究人员发现的,共计18个,主要存在于Opticam i5和Foscam C2摄像机中。但是,F-Secure研究人员警告称,这些漏洞可能遍布整个Foscam产品线,而且可能其所有14个独立品牌下销售的Foscam制造的摄像机也存在安全问题。
F-Secure得知,目前至少有14个其他品牌正在销售Foscam制造的设备,大家可以自行检查:
Chacon
Thomson
7links
Opticam
Netis
Turbox
Novodio
Ambientcam
Nexxt
Technaxx
Qcam
Ivue
Ebode
Sab
这些安全漏洞包括不安全的默认凭证、硬编码凭证、隐藏和未记录的Telnet功能、命令注入缺陷、缺少授权、访问控制不当、跨站点脚本以及缓冲区溢出漏洞等。所有这些漏洞信息都在今天发布的 报告 中进行了详细说明。
【全球各地成千上万的设备面临威胁】
F-Secure的网络安全专家Janne Kauhanen表示:
在这些产品的设计过程中,安全性被抛之脑后,开发人员只关心能够尽快地将产品推出市场供用户使用。但是,这种对安全性的关注不足使得使用者面临着严重的安全风险。
如今,谈到远程设备(特别是摄像机)安全性的问题。人们更多关注的可能是未来会由此组建的僵尸网络以及进一步实施的大规模DDoS攻击,但是现在,单单只说Foscam漏洞的数量和严重程度就已经足够引发关注和担忧。
发现这些漏洞的F-Secure高级安全顾问Harry Sintonen评论说:
这些漏洞的糟糕程度难以想象,它们允许攻击者做任何想做的事,攻击者可以逐个利用它们,或是混合使用,以便在设备和网络系统中获取更大程度的权限。
F-Secure还在报告中提供了几个示例攻击。例如,未经身份验证的用户能够访问特定端口,可以使用命令注入为设备添加新的root用户,并启用标准的远程登录服务(Telnet)。然后,当通过此远程登录服务登录时,他们就有了设备的管理员权限。
第二个攻击示例中,攻击者可以使用三个单独的漏洞实施攻击。F-Secure的报告解释说:
FTP用户帐户上的空密码可以用于登录,随后隐藏的Telnet功能就可以被激活。之后,攻击者可以访问全域可写(world-writable)文件(控制哪些程序可以在启动时运行),然后将自己添加到列表之中。这样一来,即使设备重新启动,攻击者依然可以进行持续访问。
安全建议
目前,由于Foscam尚未提供修补程序,因此F-Secure建议用户只能将摄像机安装在专用网络或VLAN内。它还指出,在此次问题中,更改默认密码并不能增强安全性,因为“由于Foscam IP摄像机使用了硬编码凭证,在这种情况下,攻击者可以绕过凭证。”
当然,修复责任仍然是属于制造商的。F-Secure为Foscam列出了12条建议,包括安装“真正随机的默认管理密码”、删除内置的凭证以及执行适当的iptables防火墙等。
概括来说,F-Secure建议供应商应该一开始就将产品的安全性考虑到设计过程中。该报告指出,
拥有产品安全流程,并将适量的资源投入到安全中是与竞争对手拉开差距的重要因素。而对安全设计实践过程进行有效的监管也是帮助供应商获取优势的重要步骤。
关于Foscam
福斯康姆(FOSCAM)是一家专注于设计、研发、制造及销售网络摄像机、网络视频录像机等产品的国家级高新技术企业。旗下包括福斯康姆、福智达两家全资子公司和一家分公司——光明分公司。
今年年初,Foscam成功获得数千万A轮融资,并将其用于布局智能安防全产业链,打造专业化一站式安防解决方案。
|