天啦噜,原来全球第一和第四安防厂商竟存在设备隐患

主页 > 新闻动态 > 行业动态 > 2017-08-23

今天小编在浏览CNVD官方公告竟发现以下内容:

关于海康威视与大华股份多款网络摄像机产品存在身份认证绕过等高危漏洞的安全公告
安全公告编号:CNTA-2017-0050
安全公告编号:
近期,国家信息安全漏洞共享平台(CNVD)收录了海康威视与大华股份网络摄像机存在身份认证绕过漏洞、配置文件密码泄露等漏洞(CNVD-2017-06977、CNVD-2017-08191、CNVD-2017-08192、CNVD-2017-06997)。综合利用上述漏洞,远程攻击者可利用漏洞提升权限或加密其他用户身份获取敏感信息,并控制网络设备。由于漏洞利用较为简单,可能被黑客组织利用于传播网络病毒(如:蠕虫)。

一、漏洞情况分析
Hikvision DS-2CD2xx5等系列为海康威视(Hikvision)公司(股票代码:SZ.002415)的网络摄像机产品;大华DH-IPC-HDBW23A0RN-ZS等系列设备为大华(DaHua)公司(股票代码:SZ.002236)的网络摄像机产品。多款网络摄像机产品存在类似身份认证不当漏洞与配置文件密码泄露漏洞,远程攻击者可利用漏洞提升权限或加密其他用户身份获取敏感信息,并控制网络设备。 
…… 


纳尼!?公司的安防设备可全是某康和某华产品,再说小编家里也用了某石的产品啊……看到这则消息小编的心情是这样的
 

各位看官可能有些不知道CNVD是什么机构,小编做一下科普:

国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是由国家计算机网络应急技术处理协调中心(中文简称国家互联应急中心,英文简称CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。
建立CNVD的主要目标即与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集验证、预警发布及应急处置体系,切实提升我国在安全漏洞方面的整体研究水平和及时预防能力,进而提高我国信息系统及国产软件的安全性,带动国内相关安全产品的发展。


正因为CNVD如此权威,所以小编当时的想法是这样的:

各位看官可能有些不知道CNVD是什么机构,小编做一下科普:

当然我们的民族骄傲,全球第一和第四安防厂商工作效率也不是盖的,事后不久立马发布解决方案:

目前,海康威视公司和大华公司已及时给出了上述漏洞的安全解决方案,请访问厂商主页及时修复漏洞: 
http://www.hikvision.com/cn/support_det_591_i494.html 
http://www.hikvision.com/us/about_10805.html 
http://www.hikvision.com/us/about_10807.html 
http://us.dahuasecurity.com/en/us/Security-Bulletin_030617.php 
http://us.dahuasecurity.com/en/us/Security-Bulletin_04032017.php 
若未能及时升级,建议可以通过临时关闭网络摄像机产品的远程管理界面或认证端口来防范网络攻击。

附:参考链接:
http://www.securityfocus.com/bid/98312
http://www.securityfocus.com/bid/98313
https://nvd.nist.gov/vuln/detail/CVE-2017-7921
https://nvd.nist.gov/vuln/detail/CVE-2017-7923
https://nvd.nist.gov/vuln/detail/CVE-2017-7925
https://nvd.nist.gov/vuln/detail/CVE-2017-7927
http://www.cnvd.org.cn/flaw/show/CNVD-2017-06977
http://www.cnvd.org.cn/flaw/show/CNVD-2017-08191
http://www.cnvd.org.cn/flaw/show/CNVD-2017-08192
http://www.cnvd.org.cn/flaw/show/CNVD-2017-06997

 


看到这里,我们还是要给两个厂商大大的赞!

那么问题来了,不是每个人都喜欢浏览CNVD的网站,怎么能做到实时了解我们技防设备的漏洞呢?咳咳,小编隆重推荐一款产品——杰之良安防运维监测器,实时更新数据库,网络内如果出现CVND警告的具有漏洞的技防设备,立即报警提示客户,


真是应了那句圈内话,寻找安防漏洞哪家强,就找广州杰之良! 

更多精彩内容,请关注杰之良产品公众号

版权所有广州杰之良软件有限公司 网站备案号:粤ICP备17029387号 技术支持:杰之良软件