信息化觀察網(wǎng)

新發(fā)現(xiàn)的漏洞，在一個(gè)流行品牌的室內(nèi)互聯(lián)網(wǎng)連接相機(jī)可以被攻擊者利用，以獲得完全控制的設(shè)備。

據(jù)研究人員稱，F(xiàn)oscamC1室內(nèi)高清攝像頭的安全問題可能允許黑客遠(yuǎn)程訪問該設(shè)備。

福斯卡姆C1相機(jī)是一種常用的家庭監(jiān)控設(shè)備，由許多大型技術(shù)零售商銷售。以中國(guó)為基地的深圳福斯卡姆智能科技有限公司將其產(chǎn)品描述為“領(lǐng)先的IP攝像機(jī)”，并表示這些產(chǎn)品的存在是為了“使世界各地的人們的生活更加安全”。

但思科塔洛斯公司的研究人員發(fā)現(xiàn)了攝像頭中的漏洞，這可能會(huì)把它遠(yuǎn)程放在黑客手中。最新的漏洞FoscamC1是單獨(dú)的，以前披露的問題，可以用來損害設(shè)備。

在WebService DDNS客戶端代碼執(zhí)行、固件升級(jí)、軟AP配置、設(shè)備到設(shè)備通信以及幾個(gè)緩沖區(qū)溢出漏洞中發(fā)現(xiàn)了問題。

塔洛斯說：“攻擊者可以利用這些漏洞在受影響的設(shè)備上實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，以及將流氓固件圖像上傳到設(shè)備上，這可能導(dǎo)致攻擊者能夠完全控制這些設(shè)備。”

啟用動(dòng)態(tài)DNS（DDNS）的Foscam攝像機(jī)對(duì)緩沖區(qū)溢出漏洞很敏感，攻擊者可以通過使用流氓HTTP服務(wù)器來利用這些漏洞，以便編寫新的響應(yīng)來啟動(dòng)命令，從而允許遠(yuǎn)程控制設(shè)備。

研究人員還發(fā)現(xiàn)，F(xiàn)oscamC1HD室內(nèi)攝像頭的固件升級(jí)可能會(huì)通過設(shè)備上的Web管理接口受到影響。他們被發(fā)現(xiàn)對(duì)用戶提供的固件圖像缺乏足夠的驗(yàn)證，攻擊者可以利用這個(gè)漏洞在設(shè)備上上傳和執(zhí)行定制固件。

也請(qǐng)看：你忘記的物聯(lián)網(wǎng)設(shè)備會(huì)留下災(zāi)難性的、有毒的遺產(chǎn)

在Web管理接口中也存在一個(gè)漏洞，如果被利用，可以允許特定的HTTP請(qǐng)求在SoftAP配置期間注入任意shell字符，從而導(dǎo)致命令注入，攻擊者可能濫用該命令。

此外，研究人員發(fā)現(xiàn)，通過使用緩沖區(qū)溢出條件，設(shè)備與設(shè)備之間的通信可能被攻擊者惡意濫用，允許發(fā)出未經(jīng)驗(yàn)證的遠(yuǎn)程命令，這可能再次導(dǎo)致設(shè)備的折衷。

福斯卡姆室內(nèi)IP相機(jī)C1系列模型運(yùn)行系統(tǒng)固件版本1.9.3.18，應(yīng)用固件版本2.52.2.43或插件版本：3.3.0.26都容易受到漏洞的影響。

”在許多情況下，這些裝置可能部署在敏感地點(diǎn)。塔洛斯的研究人員寫道：“它們被用于安全監(jiān)控，許多人使用這些設(shè)備遠(yuǎn)程監(jiān)控他們的家、孩子和寵物。”

思科已經(jīng)通知了Foscam的漏洞，相機(jī)制造商已經(jīng)發(fā)布了固件更新來解決這個(gè)問題。

研究人員說：“受影響設(shè)備的用戶應(yīng)盡快更新到這一新版本，以確保他們的設(shè)備不會(huì)受到傷害。”他們還警告說，物聯(lián)網(wǎng)設(shè)備應(yīng)保持最新狀態(tài)，以確保盡可能高的安全級(jí)別。

在流行的物聯(lián)網(wǎng)設(shè)備中發(fā)現(xiàn)的一系列安全問題中，F(xiàn)oscamC1的IP攝像頭漏洞是最新的。其他品牌的物聯(lián)網(wǎng)相機(jī)經(jīng)常被發(fā)現(xiàn)包含漏洞，而從物聯(lián)網(wǎng)連接兒童玩具到大型帆船，所有的東西都被發(fā)現(xiàn)缺乏最基本的網(wǎng)絡(luò)安全。

更新：在給ZDNet的一封電子郵件中，F(xiàn)oscam發(fā)言人說，其安全小組的工作是“相應(yīng)地修復(fù)已確認(rèn)的證券漏洞”。

“福斯卡姆始終高度重視產(chǎn)品安全。我們將繼續(xù)加強(qiáng)努力，加大對(duì)提高產(chǎn)品安全性的投入，使我們的產(chǎn)品對(duì)用戶更穩(wěn)定、更可靠。