編號CVE-2021-36260的安全漏洞存在於眾多版本的Hikvision韌體,波及的設備包括IP攝影機及PTZ攝影機70餘款,以及部分網路監控主機(NVR)
中國監視攝影設備大廠海康威視(Hikvision)本周發出安全公告,以修補一個可能讓攻擊者接管攝影機設備、存取內部網路的遠端程式碼執行(RCE)漏洞。
Hikvision修補的CVE-2021-36260,是由安全廠商Watchful_IP所發現。它是位於Hikvision韌體中的指令注入漏洞,研究人員並未提供說明細節,僅指出,該漏洞可讓攻擊者透過SSH連線,繞過Hikvision web portal驗證,下達不受限的根shell指令,接管整合設備,或是存取持有人才有權存取的資訊。該漏洞允許攻擊者取得比裝置持有人還大的權限,因為後者只能在「受保護shell」下達一組已預先定義好的資訊類指令。
研究人員補充,除了接管IP攝影機外,攻擊者也可能透過該漏洞存取內部網路。
利用CVE-2021-36260,攻擊者不需使用者互動即可於遠端執行指令,使其成為最高風險的零點擊程式碼執行(RCE)的重大風險漏洞,風險值列為9.8。
這項漏洞影響今年6月以前眾多版本的Hikvision韌體,波及的設備包括IP 攝影機及PTZ攝影機70餘款,以及部分網路監控主機(NVR)。Hikvision已經在7月釋出最新版本韌體IPC_G3 (V5.5.800 build 210628) 及IPC H5 (V5.5.800 build 210628)。
美國網路安全主管機關也在本周呼籲企業管理員及早安裝最新版本韌體。
資料來源: IT HOME https://www.ithome.com.tw/news/146985
