近日,美国网络安全与基础设施安全局(The U.S Cybersecurity and Infrastructure Security Agency,CISA) 就影响大华网络摄像头及相关产品的2个关键漏洞发出警告。
这2个漏洞是在2021年发现的。然而,CISA现在以“基于主动取证”为由,将它们添加到其目录中。CISA要求联邦机构在 9 月 11 日之前“根据供应商的指示应用缓解措施,或者在无法获得缓解措施的情况下停止使用该产品”。
美国以大华摄像头存在安全漏洞,可能会被用来“窃取数据”,危害美国国家安全为由,多次颁布针对大华的禁令。早在2019年5月,美国国会众议院通过了禁止美国政府使用大华及海康威视等产品的相关法案,该禁令于2019年下半年正式开始实施。
禁令中还提到将会从实体供应链中逐渐淘汰和替换大华和海康威视的现有设备。2019年10月8日,美国政府再次以“国家安全”为由,把海康威视、大华等8家中企列入贸易管制“黑名单”。
虽然美国政府予以禁止,但目前仍有数千台大华的相关产品在美国境内使用,尽管有禁令,美国和加拿大的安全摄像头销售商目前仍在使用大华的硬件和软件。
此次警告所谈及的2021年发现的漏洞分别是CVE-2021-33044和CVE-2021-33045,攻击者可通过构建恶意数据包来绕过设备身份验证。
解决方式是用户必须尽快安装最新的固件版本;将受潜在威胁的大华摄像头型号升级至最新的固件版本外,还应该更改设备初始密码;如果是无线摄像头,还应启用WPA2加密,并尽可能为IoT设置一个单独的隔离网络;如果设备已启用云,可以从控制界面自动获取修复升级。
2022年,大华再度发现2个漏洞:CVE-2022-30563及CVE-2022-30564。
CVE-2022-30563:在大华部分网络摄像机产品Open Network Video Interface Forum(ONVIF,开放式网络视频接口论坛)标准规范WS-UsernameToken认证机制的实现中发现的安全漏洞。攻击者利用该漏洞嗅探之前未加密的ONVIF交互、在新的请求中重放该凭证,最终实现入侵网络摄像机的目的。大华于2022年6月28日发布了安全补丁。
CVE-2022-30564:大华嵌入式产品存在的未授权操作漏洞,该漏洞是由于处理时间戳变化的API未经过验证,了解API支持的参数的威胁者可以通过向易受攻击的接口发送特制的数据包来修改设备的系统时间。解决方式是受影响用户可从大华网站下载相应的修复软件(或更高版本),或联系当地技术支持进行升级。
2024年2月,大华存在信息泄露漏洞CNVD-2024-09534,攻击者可利用该漏洞获取敏感信息。据了解,厂商目前已提供漏洞修复方案。
天防安全作为物联网安全创新者,深耕视频监控网络安全赛道,在视频监控网络安全领域拥有多年的深厚积累和实战经验,迄今为止,天防安全鲲鹏实验室已成功挖掘上百个IOT通用安全中高危原创漏洞,包括不限于主流品牌海康、大华、宇视、科达等,均得到国内外主流漏洞共享平台与公共漏洞披露平台的收录与证明。
目前,天防安全“天防视频网络安全检查工具、天慧视频监控网络空间安全监测服务平台”已具备网络安全漏洞检测能力,如有需要,可与我们联系!
天防视频网络安全检查工具
往期推荐
原文始发于微信公众号(天防安全):漏洞预警|CISA对大华漏洞发出预警,联邦机构或于9月停用
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论