據(jù)Security affairs消息，大華攝像頭中的兩個(gè)漏洞PoC(概念驗(yàn)證程序)已在網(wǎng)絡(luò)上泄露，漏洞編號(hào)為CVE-2021-33044 和 CVE-2021-33045，攻擊者可通過(guò)構(gòu)建惡意數(shù)據(jù)包來(lái)繞過(guò)設(shè)備身份驗(yàn)證。

多款型號(hào)受影響

雖然這些漏洞最早發(fā)現(xiàn)于2021年6月13日，但大華在9月初才發(fā)布安全公告，多款型號(hào)的大華產(chǎn)品受到了這一漏洞的影響，包括： IPC-X3XXX、HX5XXX、HUM7XX、VTO75X95X、VTO65XXX、VTH542XH、云臺(tái)球型攝像機(jī)SD1A1、SD22、SD49、SD50、SD52C、SD6AL、熱敏TPC-BF1241、TPC221-TBF2 -SD2221、TPC-BF5XXX、TPC-SD8X21、TPC-PT8X21B、NVR1XXX、NVR2XXX、NVR4XXX、NVR5XXX、NVR6XX。

[[427606]]

據(jù)bleepingcomputer在Shodan等搜索引擎進(jìn)行搜索，全球范圍內(nèi)至少有超過(guò) 120 萬(wàn)臺(tái)大華設(shè)備可能存有風(fēng)險(xiǎn)。事實(shí)上，攻擊者完全可以通過(guò)相關(guān)搜索找到存有風(fēng)險(xiǎn)的大華設(shè)備并通過(guò)公布的 PoC 代碼將其破解。

為此，用戶必須盡快安裝最新的固件版本。

如何進(jìn)行保護(hù)?

除了將受潛在威脅的大華攝像頭型號(hào)升級(jí)至最新的固件版本外，還應(yīng)該更改設(shè)備初始密碼。即將諸如“admin”之類的默認(rèn)密碼更改成較復(fù)雜且安全的密碼。

此外，如果是無(wú)線攝像頭，還應(yīng)啟用 WPA2 加密，并盡可能為 IoT 設(shè)置一個(gè)單獨(dú)的隔離網(wǎng)絡(luò)。 如果設(shè)備已啟用云，可以從控制界面自動(dòng)獲取修復(fù)升級(jí)。