警示：海康、大華多款攝像機存高危漏洞

2017-06-28

前不久智能攝像頭遭入侵，隱私曝光事件傳的是沸沸揚揚，裝有攝像頭的家庭人人自危。而就在近期，國家信息安全漏洞共享平台再次曝出漏洞。報告指出，海康威視與大華股份網絡攝像機存在身份認證繞過漏洞、配置文件密碼泄露等漏洞。

據微信公號“新疆互聯網應急中心”消息，近期，國家信息安全漏洞共享平台（CNVD）收錄了海康威視與大華股份網絡攝像機存在身份認證繞過漏洞、配置文件密碼泄露等漏洞（CNVD-2017-06977、CNVD-2017-08191、CNVD-2017-08192、CNVD-2017-06997）。綜合利用上述漏洞，遠程攻擊者可利用漏洞提升權限或加密其他用户身份獲取敏感信息，並控制網絡設備。由於漏洞利用較為簡單，有可能被黑客組織利用於傳播網絡病毒（如：蠕蟲）。

一、漏洞情況分析

Hikvision Cameras、Hikvision DS-2CD2xx2F-I 等系列為海康威視（Hikvision）公司（股票代碼：SZ.002415）的網絡攝像機產品；大華DH-IPC-HDBW23A0RN-ZS等系列設備為大華（DaHua）公司（股票代碼：SZ.002236）的網絡攝像機產品。多款網絡攝像機產品存在類似身份認證不當漏洞與配置文件密碼泄露漏洞，遠程攻擊者可利用漏洞提升權限或加密其他用户身份獲取敏感信息，並控制網絡設備。

詳情如下：