呂守箴(OpenBlue) => 網路攻防戰~資安閒聊群組: 標題：中國網路攝影機爆10多項安全漏洞，恐累及十多項品牌摘要： F-Secure研究人員檢視Foscam旗下Opticam i5 HD及Foscam C2二款產品線，在Opticam i5發現到18項安全漏洞，而C2也有其中多項漏洞。這些漏洞有的讓攻擊者讀取到影像、控制相機運作、或是從內建FTP伺服器下載檔案，輕則導致無法錄影，重則利用這些攝影機進行DDoS或其他惡意活動。這些漏洞包括：不安全的預設密碼，像是採用非隨機或空白密碼；將FTP伺服器或網頁登入資料寫死而無法為用戶變更；隱藏的Telnet功能給予攻擊者入侵裝置或區域網路；指令碼注入漏洞；防火牆存取控制不當，使攝影機所在IP位址能仍為telnet、RTSP、FTP、ONVIF等協定存取；堆疊緩衝溢位漏洞；跨站指令碼(XSS)漏洞。另外，還有多項漏洞與網站資源的存取驗證不足或不當有關。研究人員舉例，藉由FTP空白密碼的漏洞，任何人都可以發動指令碼注入攻擊，為裝置加入一名根目錄使用者，並啟用標準遠端登入服務（Telnet），最後只要攻擊者利用Telnet遠端登入，即可獲取裝置的管理員權限。原始資料： http://images.news.f-secure.com/Web/FSecure/%7B43df9e0d-20a8-404a-86d0-70dcca00b6e5%7D_vulnerabilities-in-foscam-IP-cameras_report.pdf 引用來源： http://www.ithome.com.tw/news/114811 #59394795f7bc0e0efaf52b4c

呂守箴(OpenBlue) says to 網路攻防戰~資安閒聊群組

標題：中國網路攝影機爆10多項安全漏洞，恐累及十多項品牌摘要： F-Secure研究人員檢視Foscam旗下Opticam i5 HD及Foscam C2二款產品線，在Opticam i5發現到18項安全漏洞，而C2也有其中多項漏洞。這些漏洞有的讓攻擊者讀取到影像、控制相機運作、或是從內建FTP伺服器下載檔案，輕則導致無法錄影，重則利用這些攝影機進行DDoS或其他惡意活動。這些漏洞包括：不安全的預設密碼，像是採用非隨機或空白密碼；將FTP伺服器或網頁登入資料寫死而無法為用戶變更；隱藏的Telnet功能給予攻擊者入侵裝置或區域網路；指令碼注入漏洞；防火牆存取控制不當，使攝影機所在IP位址能仍為telnet、RTSP、FTP、ONVIF等協定存取；堆疊緩衝溢位漏洞；跨站指令碼(XSS)漏洞。另外，還有多項漏洞與網站資源的存取驗證不足或不當有關。研究人員舉例，藉由FTP空白密碼的漏洞，任何人都可以發動指令碼注入攻擊，為裝置加入一名根目錄使用者，並啟用標準遠端登入服務（Telnet），最後只要攻擊者利用Telnet遠端登入，即可獲取裝置的管理員權限。原始資料： http://images.news.f-secure.com/Web/FSecure/%7B43df9e0d-20a8-404a-86d0-70dcca00b6e5%7D_vulnerabilities-in-foscam-IP-cameras_report.pdf 引用來源： http://www.ithome.com.tw/news/114811

at Thu, Jun 8, 2017 8:48 PM