您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 資安新聞

資安新聞

中國Foscam網路攝影機產品存在多項漏洞

資安業者F-Secure於6/6發布警訊及相關報告,中國網路攝影機業者Foscam至少有二款系列產品存在十多項漏洞,給予駭客竊取影像或攻擊其他連網裝置的機會。研究人員擔心該公司其他10多個品牌也難倖免。F-Secure研究人員檢視Foscam旗下Opticam i5 HD及Foscam C2二款產品線,在Opticam i5發現18項安全漏洞,而C2也有其中多項漏洞。這些漏洞有的讓攻擊者讀取到影像、控制相機運作、或是從內建FTP伺服器下載檔案,輕則導致無法錄影,重則利用這些攝影機進行DDoS攻擊或其他惡意活動。這些漏洞包括:

不安全的預設密碼,像是採用非隨機或空白密碼;
將FTP伺服器或網頁登入資料寫死,用戶無法變更;
隱藏的遠端登入服務(Telnet)功能給予攻擊者入侵裝置或區域網路;
指令碼注入(Commend Injection)漏洞;
防火牆存取控制不當,使攝影機所在IP位址能仍為Telnet、RTSP、FTP、ONVIF等協定存取;
堆疊緩衝溢位(Stack-Based Buffer Overflow)漏洞;
跨站指令碼(Cross-Site Scripting)漏洞。

除上列之外,這些產品還存在多項漏洞與網站資源的存取驗證不足或不當有關。研究人員舉例,藉由FTP空白密碼的漏洞,任何人都可以發動指令碼注入攻擊,為裝置加入一名根目錄使用者,並啟用Telnet,最後只要攻擊者利用Telnet遠端登入,即可獲取裝置的管理員權限。安全研究人員表示,由於Foscam至少還有其他14個品牌,因此不排除也會有上述漏洞帶來的風險。F-Secure表示數月前已通知Foscam但至今未見修補漏洞。而雖然F-Secure已經成功入侵這些機器,但因為尚未有修補方案,該公司也拒絕公佈其概念驗證攻擊程式。

Reference

資料來源:
https://press.f-secure.com/2017/06/07/multiple-flaws-in-foscam-ip-cameras-open-devices-networks-to-attackers/
https://safeandsavvy.f-secure.com/2017/06/06/foscam-ip-cameras-insecure-iot/
http://www.ithome.com.tw/news/114811
相關報告請參閱:
http://images.news.f-secure.com/Web/FSecure/%7B43df9e0d-20a8-404a-86d0-70dcca00b6e5%7D_vulnerabilities-in-foscam-IP-cameras_report.pdf
國家資通安全會報技術服務中心整理
 

Publish Date
2017/6/23 0:00:00