你家的监控摄像头应该还是安全的

最初，Fernandez 发现 CVE-2018-9995 仅影响由 TBK 制造的 DVR 设备，但在本周一的更新中，他扩大了易受攻击设备的列表，涉及到其他几家贴牌供应商，包括：Novo、CeNova、QSee、Pulnix、XVR 5 in 1、Securus 和 Night OWL。

数万台易受攻击设备在线暴露

Fernandez 估计，易受攻击设备的数量至少有数万台。根据 Shodan 的扫描结果屏幕截图显示：使用 /login.rsp 进行搜索，可以找到近 5.6 万台在线暴露的设备；而使用 /device.rsp 来搜索，还能够发现额外的超过 1 万台的设备。

Fernandez 还发布了一些通过利用 CVE-2018-9995 和他的工具获得的设备屏幕截图。根据这些屏幕截图的显示，Fernandez 可以完全访问这些设备的控制面板，同时也可以观看实时录制的视频。

小哥，你背上是小猪佩奇吗？

在过去，有一些网站会专门利用安全漏洞来聚合由被劫持的安全摄像头或者 DVR 录制的视频，因此 Fernadez 发布的这款工具可能会为类似门户网站的兴起起到推动作用。

漏洞已被确认 但尚未发现攻击活动

青天科技的首席安全研究员 Ankit Anubhav 对代码进行了验证，脚本的确能够顺利地完成其所描述的内容，并在按下按钮时为各种 DVR 模型提供明文凭证。值得庆幸的是，在 CVE-2018-9995 被公开的这几周以来，并没有出现针对该漏洞的大规模扫描活动，即使是在 Fernandez 发布这个工具之后，也没有出现这种情况。

专注于汇总互联网扫描活动的 GreyNoise Intelligence 公司的创始人 Andrew Morris 表示： “我们没有看到任何人使用 /login.rsp 或 /device.rsp 来进行有针对性的互联网扫描。”

CVE-2018-9995 会是下一个 GoAhead 灾难

AnkitAnubhav 表示，青天科技最近在一些攻击活动中发现了很多物联网设备漏洞被利用，但它们仅限于特定的厂商，如 CVE-2017-17215（华为）、CVE-2017-18046（Dasan）和 ChimayRed（Mikrotik）。现在，随着 CVE-2018-9995 的加入，人们将会看到另一个与 CVE-2017-8225（GoAhead）同等水平的跨供应商物联网设备漏洞所带来的破坏。”

AnkitAnubhav 提到的 CVE-2017-8225 是一个影响范围极广且危害性极高的漏洞，影响了由 GoAhead 生产的用于制造 IP 安全摄像头的固件，而这些固件被出售给了全球众多摄像头制造商。在过去的两年里，这些摄像头被很多物联网僵尸网络（如 IoTroop，也称 Reaper）用于开展攻击活动，以寻找并感染新的设备。

AnkitAnubhav 认为，能够同时影响到多个不同品牌、在线暴露数量达到数以万计以及公开可用的 PoC 代码和易于使用的脚本程序，CVE-2018-9995 势必会在接下来的一年里成为被扫描最多和利用最多的安全漏洞之一。

如何避免自己成为该漏洞的受害者

AnkitAnubhav 指出，利用 PoC 代码的攻击很容易被识别出来，因为代码里的 user-agent 有拼写错误 —— Morzilla 和 Pinux x86_128网站安全监控，正常是 Mozilla 和 Linux x86_128。不过懂行的黑客会自行修改脚本。尽管如此，我们仍然可以通过 log 里面尝试的登录发现攻击异常，检测到访问 /login.rsp 或 /device.rsp URL 路径并阻止，从而只允许可信的 IP 访问 DVR 管理接口。随着攻击代码的公开，问题并不仅在于设备是否会遭到破坏，而更多的是黑客多久会跟进并且利用它造成其他更大规模的破坏。

* 本文原载于 BleepingComputer（文末原文链接），感谢黑客世界的转载和翻译。（ ）

青天科技（NewSky Security，厦门雷德蒙软件开发有限公司）是一家提供物联网安全解决方案的提供商，致力于同企业一起解决黑客攻击、恶意软件感染、信息泄露、DDoS攻击等安全威胁，专注于物联网智能终端传输和云的信息安全，提供实时的网络行为监控，依托大数据分析和机器学习技术，可对智能终端的网络行为进行深入挖掘、分析和建模。

（编辑：好传媒网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!