监视摄影机企业Hikvision修补可接管设备的RCE漏洞

中国监视摄影设备大厂海康威视(Hikvision)本周发出安全公告,以修补一个可能让攻击者接管摄影机设备、访问内部网络的远程程序代码执行(RCE)漏洞。

Hikvision修补的CVE-2021-36260,是由安全厂商Watchful_IP所发现。它是位于Hikvision固件中的指令注入漏洞,研究人员并未提供说明细节,仅指出,该漏洞可让攻击者通过SSH连接,绕过Hikvision web portal验证,下达不受限的根shell指令,接管集成设备,或是访问持有人才有权访问的信息。该漏洞允许攻击者取得比设备持有人还大的权限,因为后者只能在“受保护shell”下达一组已预先定义好的信息类指令。

研究人员补充,除了接管IP摄影机外,攻击者也可能通过该漏洞访问内部网络。

利用CVE-2021-36260,攻击者不需用户交互即可于远程执行指令,使其成为最高风险的零点击程序代码执行(RCE)的重大风险漏洞,风险值列为9.8。

这项漏洞影响今年6月以前众多版本的Hikvision固件,波及的设备包括IP摄影机及PTZ摄影机70余款,以及部分网络监控主机(NVR)。Hikvision已经在7月发布最新版本固件IPC_G3 (V5.5.800 build 210628) 及IPC H5 (V5.5.800 build 210628)。

美国网络安全主管机关也在本周呼吁企业管理员尽早安装最新版本固件。