研究人員在市售的 390 款 Axis IP 網路攝影機的韌體當中發現了 7 個漏洞,這些漏洞可能讓駭客掌控裝置的拍攝畫面及軟體、讓裝置完全失效、透過裝置來入侵網路,或者利用裝置來發動分散式阻斷服務攻擊 (DDoS)之類的網路攻擊。該裝置製造商在接獲通報之後已迅速釋出修補更新,所有受影響的型號皆應盡速更新裝置韌體。
[延伸閱讀:2017 年最值得注意的家庭網路威脅]
研究人員已將上述漏洞通報給 Axis Communications 公司,這些漏洞是研究人員在追查某些消費型及商用物聯網 (IoT) 裝置漏洞時所發現,其中還包括了零時差漏洞。駭客可搭配運用其中的 3 個漏洞來取得裝置的系統管理權限進而從遠端下達指令來進行下列操作 (研究人員甚至提供了概念驗證示範):
- 取得即時拍攝畫面。
- 凍結拍攝畫面。
- 操控拍攝方向並啟用或停用物體移動感應功能。
- 將裝置收編至殭屍網路。
- 篡改軟體。
- 從裝置入侵其所在的網路。
- 讓裝置失效。
- 利用裝置來從事其他惡意活動,例如:虛擬加密貨幣挖礦或 DDoS 攻擊。
[延伸閱讀:物聯網相關的技術支援]
研究人員進一步指出,目前雖然網路上尚未出現針對這些漏洞的攻擊,但所有使用該公司產品的客戶皆應盡速更新其產品韌體以確保安全。Axis 的產品行銷全球 150 多國,不論公家機關或私人機構如:賭場、銀行、監獄或交通運輸系統皆可發現該其 IP 攝影機的蹤影。
而這項消息也讓 IoT 的安全疑慮再度升高。以下是一些可降低這類風險方法:
- 定期下載官方來源或裝置製造商所提供的修補更新。
- 更換出廠預設的密碼,改用高強度密碼並不定期更換以降低裝置遭外界不當存取的可能性。
- 熟悉 IoT 裝置的功能,並且選擇值得信賴的廠商所生產且在安全方面享有信譽的裝置。
[延伸閱讀:如何確保 IP 攝影機安全]
趨勢科技 Smart Home Network™ 智慧家庭網路產品的客戶可利用以下規則來防範這項威脅:
1134791 WEB Axis Cameras Authorization Bypass Vulnerability (CVE-2018-10661)
1134792 WEB Axis Cameras /bin/ssid Process Crash (CVE-2018-10659)
1134793 WEB Axis Cameras Dbus Unrestricted Access (CVE-2018-10662)
1134794 WEB Axis Cameras Shell Command Injection (CVE-2018-10660)
1134795 WEB Axis Cameras /bin/ssid Process Information Disclosure (CVE-2018-10663)
1134796 WEB Axis Cameras Dbus /bin/ssid Process Crash (CVE-2018-10658)
原文出處:Patch Now: Axis Cameras’ Flaws Could Give Attackers Control