一个被跟踪为 CVE-2021-36260 的关键问题影响了 70 多个海康威视设备模型,并且可能允许攻击者接管它们。

一个跟踪为 CVE-2021-36260 的严重漏洞影响了 70 多个海康威视摄像头和 NVR 型号,并允许攻击者接管设备。

该漏洞是海康威视 IP 摄像机/NVR 固件中的一个未经身份验证的远程代码执行 (RCE) 漏洞,由安全研究人员发现,该安全研究人员以“Watchful IP”为绰号上网。

“即使使用最新的固件(截至 2021 年 6 月 21 日),海康威视摄像机最近的大多数摄像机产品系列都容易受到严重的远程未经身份验证的代码执行漏洞的影响。” 专家写到

“这允许攻击者通过不受限制的 root shell 获得对设备的完全控制,这比设备所有者拥有的访问权限要多得多,因为他们被限制在一个有限的“受保护的 shell”(psh)中,它将输入过滤到预定义的一组有限的,主要是信息性的命令。”

在攻破 IP 摄像机后,攻击者还可以使用被黑设备访问内部网络,从而对使用这些设备的基础设施构成风险。

研究人员指出,利用该问题不需要用户交互,攻击者只需要访问http(s)服务器端口(通常为80/443)即可。

“鉴于在敏感地点部署这些摄像头,甚至关键基础设施也可能面临风险,”该帖子继续说道。“不需要用户名或密码,也不需要由相机所有者发起任何操作。相机本身的任何记录都无法检测到它。”

专家指出,自 2016 年以来开发的每个固件都经过测试,发现存在漏洞。

该漏洞影响海康威视摄像机和 NVR,供应商发布的安全公告中公布了受影响产品的列表。

“一些海康威视产品的 Web 服务器中的命令注入漏洞。由于输入验证不充分,攻击者可以利用该漏洞通过发送一些带有恶意命令的消息来发起命令注入攻击。” 。

据海康威视称,该漏洞是由于输入验证不足,可以通过向易受攻击的设备发送特制消息来利用。

该公司表示,只有当攻击者能够访问设备网络或设备与 Internet 有直接接口时,攻击者才能利用该漏洞。

该漏洞于 6 月向供应商报告,该公司于 9 月 19 日发布了固件更新。

由于严重缺陷,海康威视摄像机可能被远程黑客攻击相关推荐

  1. 虹科案例|安全性防护平台-海康威视摄像机中的重大漏洞

    前言 我们Vdoo的安全研究团队对领先的物联网产品和安全设备进行了大规模的安全研究,为了提高效率和透明度,此过程设备供应商也参与其中. 这项研究的一部分是研究人员在多家供应商的设备中发现了零日漏洞.这 ...

  2. 海康威视摄像头安装插件检测不到_海康威视摄像机常见问题解答

    海康威视摄像机常见问题解答 1.忘记摄像机IP地址怎么办? ①可以通过设备网络搜索工具SADP在线搜索 ②可以使用客户端4200在线搜索功能 ③在设备和PC开启UPNP功能时,可以通过PC中网络发现查 ...

  3. 海康威视摄像机SDK二次开发--提取音频保存至文件

    由于最近在开发海康威视摄像头,特此记录一下如何提取音频数据,这里主要依靠语音对讲返回的音频数据,通过回调函数写入文件中,加个WAV头即可播放,编码格式可以自己设置在代码中有注释 文件结构 其中Came ...

  4. 海康威视摄像机通过SDK实现自动拍照(二)

    尊敬的读者您好:笔者很高兴自己的文章能被阅读,但原创与编辑均不易,所以转载请必须注明本文出处并附上本文地址超链接以及博主博客地址:https://blog.csdn.net/vensmallzeng. ...

  5. 海康威视摄像机通过SDK实现自动拍照(一)

    尊敬的读者您好:笔者很高兴自己的文章能被阅读,但原创与编辑均不易,所以转载请必须注明本文出处并附上本文地址超链接以及博主博客地址:https://blog.csdn.net/vensmallzeng. ...

  6. 如何访问海康威视摄像机的后台

    1.首先打开海康威视网络摄像头的web管理页面,点击输入用户名密码进行登录.2.然后在弹出来的界面中,点击打开配等我继续说如何访问海康威视摄像机的后台. -- 必须修改的三个参数分别是:appkey, ...

  7. 海康威视摄像机Java SDK拉流(二)开启关闭实时预览

    上一篇:海康威视Java SDK拉流(一)初始化SDK 本篇介绍海康威视摄像机通过SDK开启关闭实时预览接口 下篇介绍实时预览的回调函数及解码库 测试环境: 系统:Centos 7 SDK:设备网络S ...

  8. 海康威视摄像机SDK二次开发--指定云台位置,焦距放大倍数,拍摄时长,并拆分保存为视频文件

    按照config.txt配置,出现的效果是有几组参数就录制几个视频,视频时长按照配置文件录制 config.txt的内容,请参照海康威视摄像机SDK二次开发–实时预览视频流保存到指定文件中 java实 ...

  9. 海康威视 0day_海康威视摄像机壁装支架DS-1292ZJ 海康白 压铸铝合金材质

    DS-1292ZJ 海康威视压铸铝合金材质海康白摄像机壁装支架 适合枪型/筒型/一体型壁装摄像机支架 支架带出线孔,安装更加美观 DS-1292ZJ DS-1292ZJ(海康白) 海康壁装摄像机支架 ...

最新文章

  1. fabric-ca-server 配置mysql数据库,区块链(4)
  2. 先庆祝一下,冠军的心博客园诞生了!!
  3. SharePoint 学习笔记(一)
  4. oracle原始数据类型,Oracle基本数据类型存储格式浅析——RAW类型
  5. python持久化存储文件操作
  6. php 实时监测网站是否异常_网站监控劫持问题,怎么通过网站监控解决劫持问题...
  7. 在 Windows 上可以用 Docker 吗?| 洞见
  8. [XML-Jsoup]Jsoup_解析_快速入门
  9. python代码比例_Python如何输出百分比
  10. ios 设置属性的center_【从0到1的Stata图表学习1】图例设置
  11. 【CSS3】CSS3文本字体相关属性大全
  12. Python 基础总结 6 张图 带你学习Python
  13. 零基础带你学习MySQL—分页查询(十八)
  14. .Net之Layui多图片上传
  15. pptp,l2tp获取登录用户信息用pppd参数即可
  16. 从几何解释SVD分解
  17. 黄永成-thinkphp讲解-个人博客讲解25集
  18. Open3D 点云包围盒
  19. 25.mc_api介绍及使用示例
  20. Relief特征提取算法实战

热门文章

  1. 一道传统特色小吃让她萌生创业想法,一天能挣800元
  2. vertical-align 与 line-height 傻傻分不清??
  3. .NET接入UnionPay银联支付(一)手机wap支付
  4. html图片做成菱形,两种css实现菱形的方法以及拓展特效
  5. mybatis笔记整理
  6. 树莓派魔镜MagicMirror —— 3 HDMI连接显示器
  7. 剑网3指尖江湖快速升级攻略 悄悄抱走月儿
  8. 为什么谷歌越来越牛逼, 而百度却沦为江湖骗子?
  9. 微软推出Designer图形图像设计软件,与Adobe Photoshop的较量?
  10. 转:为什么谷歌越来越牛逼,而百度却...