海康威视|海康威视100 万台设备被发现拥有最高级别的重大漏洞

海康威视|海康威视100 万台设备被发现拥有最高级别的重大漏洞


近日海康威视已经承认一个最高级别的严重漏洞 , 此漏洞由研究人员Watchful_IP发现 , 而受影响范围估计超过100多万台相关设备 。
研究人员表示这个漏洞极其容易被利用 , 只需访问http(s)port(通常为80/443) , 且不需要用户名与密码 , 亦不会被设备的任何日志检测到 。 而CVE-2021-36260的编号已被保留 , 不过尚未发布任何信息 。
根据Watchful_IP所指 , 此漏洞可完全控制这些设备中的底层电脑 , 并具有不受限制的root shell访问权限 , 比起设备拥有者获得的权限更多 。 这意味普该漏洞可同时用于「访问及攻击」内部网络 , 以及在互联网上发起DDoS攻击 。 此漏洞将牵涉大量Hikvision设备 , 官方已列出了80多个类别 , 其中广泛使用的为DS-2CVxxx1、DS-2CVxxx5、DS-2CVxxx6这三个分类别 , 涵盖数百个型号 。
即使Watchful_IP对这个漏洞评价过 , 并不会是给「中国政府授权的后门」 , 但网络安全问题于Hikvision设备而言是个长期存在的问题 , 因此美国政府早于2019年将其加入NDAA禁止名单 , 同时正计划禁止其FCC授权 。
【海康威视|海康威视100 万台设备被发现拥有最高级别的重大漏洞】目前海康威视已就此漏洞释出新的修复Firmware 。