新发现的漏洞,在一个流行品牌的室内互联网连接相机可以被攻击者利用,以获得完全控制的设备。
据研究人员称,FoscamC1室内高清摄像头的安全问题可能允许黑客远程访问该设备。
福斯卡姆C1相机是一种常用的家庭监控设备,由许多大型技术零售商销售。以中国为基地的深圳福斯卡姆智能科技有限公司将其产品描述为“领先的IP摄像机”,并表示这些产品的存在是为了“使世界各地的人们的生活更加安全”。
但思科塔洛斯公司的研究人员发现了摄像头中的漏洞,这可能会把它远程放在黑客手中。最新的漏洞FoscamC1是单独的,以前披露的问题,可以用来损害设备。
在WebService DDNS客户端代码执行、固件升级、软AP配置、设备到设备通信以及几个缓冲区溢出漏洞中发现了问题。
塔洛斯说:“攻击者可以利用这些漏洞在受影响的设备上实现远程代码执行,以及将流氓固件图像上传到设备上,这可能导致攻击者能够完全控制这些设备。”
启用动态DNS(DDNS)的Foscam摄像机对缓冲区溢出漏洞很敏感,攻击者可以通过使用流氓HTTP服务器来利用这些漏洞,以便编写新的响应来启动命令,从而允许远程控制设备。
研究人员还发现,FoscamC1HD室内摄像头的固件升级可能会通过设备上的Web管理接口受到影响。他们被发现对用户提供的固件图像缺乏足够的验证,攻击者可以利用这个漏洞在设备上上传和执行定制固件。
也请看:你忘记的物联网设备会留下灾难性的、有毒的遗产
在Web管理接口中也存在一个漏洞,如果被利用,可以允许特定的HTTP请求在SoftAP配置期间注入任意shell字符,从而导致命令注入,攻击者可能滥用该命令。
此外,研究人员发现,通过使用缓冲区溢出条件,设备与设备之间的通信可能被攻击者恶意滥用,允许发出未经验证的远程命令,这可能再次导致设备的折衷。
福斯卡姆室内IP相机C1系列模型运行系统固件版本1.9.3.18,应用固件版本2.52.2.43或插件版本:3.3.0.26都容易受到漏洞的影响。
”在许多情况下,这些装置可能部署在敏感地点。塔洛斯的研究人员写道:“它们被用于安全监控,许多人使用这些设备远程监控他们的家、孩子和宠物。”
思科已经通知了Foscam的漏洞,相机制造商已经发布了固件更新来解决这个问题。
研究人员说:“受影响设备的用户应尽快更新到这一新版本,以确保他们的设备不会受到伤害。”他们还警告说,物联网设备应保持最新状态,以确保尽可能高的安全级别。
在流行的物联网设备中发现的一系列安全问题中,FoscamC1的IP摄像头漏洞是最新的。其他品牌的物联网相机经常被发现包含漏洞,而从物联网连接儿童玩具到大型帆船,所有的东西都被发现缺乏最基本的网络安全。
更新:在给ZDNet的一封电子邮件中,Foscam发言人说,其安全小组的工作是“相应地修复已确认的证券漏洞”。
“福斯卡姆始终高度重视产品安全。我们将继续加强努力,加大对提高产品安全性的投入,使我们的产品对用户更稳定、更可靠。
