双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

安全公告編號:CNTA-2017-0019

近期，國家信息安全漏洞共享平臺（CNVD）收錄了名為Wireless IP Camera (P2P) WIFICAM攝像頭產(chǎn)品存在的多處高危安全漏洞（CNVD-2017-02751、CNVD-2017-02773、CNVD-2017-02774、CNVD-2017-02775、CNVD-2017-02776、CNVD-2017-02777、CNVD-2017-02778）。綜合利用上述漏洞，可遠程控制設(shè)備，并利用IoT設(shè)備發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊。

一、漏洞情況分析

Wireless IP Camera (P2P)WIFICAM是由一家中國廠商（目前源廠商暫未能確認）所生產(chǎn)的網(wǎng)絡(luò)攝像頭，并以貼牌產(chǎn)品的形式（OEM）向多家攝像頭廠商供貨。該廠商提供的系列攝像頭產(chǎn)品中存在多處安全漏洞，具體漏洞如下：

漏洞名稱	漏洞描述	評級
后門賬號漏洞（CNVD-2017-02751）	默認運行Telnet，任意用戶通過以下帳號密碼都能訪問登陸： root:$1$ybdHbPDn$ii9aEIFNiolBbM9QxW9mr0:0:0::/root:/bin/sh	高危
RSA密鑰和證書泄露漏洞（CNVD-2017-02773）	/system/www/pem/ck.pem中包含了擁有私有RSA密鑰的Apple certificate	中危
預授權(quán)信息和憑證泄漏漏洞 （CNVD-2017-02774）	在訪問服務(wù)器配置文件的時候，通過提供空白的「loginuse」和「loginpas」參數(shù)，攻擊者能夠繞過設(shè)備的認證程序。這樣就能在不登陸的情況下，攻擊者下載設(shè)備的配置文件。這些配置文件包含設(shè)備的憑證信息，以及FTP和SMTP帳號內(nèi)容。	高危
遠程命令執(zhí)行漏洞（CNVD-2017-02775）	FTP公共網(wǎng)關(guān)接口（CGI）中inset_ftp.cgi存在遠程命令執(zhí)行漏洞。攻擊者利用ftp管理員身份可進行遠程命令執(zhí)行，并進一步獲得網(wǎng)絡(luò)設(shè)備的root權(quán)限	中危
預授權(quán)遠程命令執(zhí)行漏洞（CNVD-2017-02776）	通過訪問帶有特殊參數(shù)的URL鏈接，攻擊者能夠以root用戶權(quán)限繞過認證程序并在攝像頭上執(zhí)行各種代碼。	中危
未授權(quán)訪問漏洞 （CNVD-2017-02777）	攻擊者能夠通過10554端口訪問攝像頭的內(nèi)置RTSP服務(wù)器，并在未認證的情況下觀看視頻直播。	高危
‘Cloud’功能設(shè)計缺陷漏洞 （CNVD-2017-02778）	攝像頭提供了「Cloud」功能，且默認開啟，能夠讓消費者通過網(wǎng)絡(luò)管理設(shè)備這項功能使用明文UDP通道來繞過NAT和防火墻。攻擊者能夠濫用這項功能發(fā)起蠻力攻擊（brute-force attacks），從而猜測設(shè)備的憑證信息。	高危

二、漏洞影響范圍

由于 Wireless IPCamera (P2P) WIFICAM在實際的用戶終端產(chǎn)品中以其他公司貼牌方式銷售，諸多貼牌產(chǎn)品不可避免地保留了這些漏洞。根據(jù)境外安全研究者的分析，市面上超過1200款不同型號產(chǎn)品受漏洞的影響。CNVD通過產(chǎn)品型號比對列舉的兩個境內(nèi)貼牌廠商如下表所示。

CNVD秘書處通過研究對源廠商產(chǎn)品識別特征進行了精確標定，根據(jù)普查結(jié)果，全球共有23.8萬個IP設(shè)備為相關(guān)產(chǎn)品，其中排名前十位的國家和地區(qū)是中國大陸地區(qū)（7.64萬，占比32.0%）、韓國（2.25萬，9.4%）、泰國（1.88萬，7.9%）、美國（1.87萬，7.9%）、中國香港地區(qū)（1.65萬，6.9%）、法國（0.71萬，3.0%）、意大利（0.58萬，2.4%）、日本（0.53萬，2.2%）、英國（0.47萬，2.0%）、巴西（0.41萬，1.7%）。

廠商	產(chǎn)品型號
深圳市富泓電子有限公司 http://www.apexis.com.cn/	HApexis、JApexis、HDApexis、apm-Apexis
EasyN普順達科技有限公司 http://www.easyn.cn/	Pan/TiltEasyCam、EC-101HDEasyCam EC-101HDSDEasyCam、EC-101SDEasyCam EC-102EasyCam、OtherEasyN、187EasyN 1BFEasyN、720PEasyN、FEasyN F-136EasyN、F-M136EasyN、F-M166EasyN F-M181EasyN、F-M1b1EasyN F-SERIESEasyN、F133EasyN F2-611BEasyN、F3EasyN、F3-166EasyN F3-176MEasyN、F3-M166EasyN F3-SERIESEasyN、F3-SeriesEasyN F3-m187EasyN、F3M187EasyN FS-613A-M136EasyN、FS-613BEasyN FS-613B-M166EasyN FS-613B-MJPEGEasyN、FS613EasyN F_M10REasyN、H3-V10REasyN H6-M137hEasyN、M091EasyN OtherEasyN、est-007660-611bEasyN est-007660333EasyN、fEasyN f-SeriesEasyN、f138EasyN、f_seriesEasyN fseriesEasyN、kitchEasyN

其他受影響產(chǎn)品型號參見：https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html?from=timeline&isappinstalled=0#pre-auth-root-rce

三、漏洞修復建議

目前，CNVD暫未能明確源廠商具體信息。由于涉及貼牌廠商眾多，且CNVD暫未建立與廠商的直接聯(lián)系，同時考慮到物聯(lián)網(wǎng)設(shè)備固件更新和補丁修復的復雜度，建議采用相關(guān)產(chǎn)品終端用戶盡快關(guān)閉設(shè)備的互聯(lián)網(wǎng)外部連接，避免成為黑客發(fā)起網(wǎng)絡(luò)攻擊和實施遠程控制的目標。

我們向業(yè)內(nèi)廠商和知情人士尋求應(yīng)急處置協(xié)助，提供源廠商具體情況，同時業(yè)內(nèi)相關(guān)廠商應(yīng)提高供應(yīng)鏈安全風險防范和排查意識，避免直接采用未修改、未審核的存在網(wǎng)絡(luò)安全質(zhì)量的產(chǎn)品。

CNVD聯(lián)系郵箱：vreport@cert.org.cn，聯(lián)系電話：010-82990286。

附：參考鏈接：

http://www.cnvd.org.cn/flaw/show/CNVD-2017-02751

http://www.cnvd.org.cn/flaw/show/CNVD-2017-02773

http://www.cnvd.org.cn/flaw/show/CNVD-2017-02774

http://www.cnvd.org.cn/flaw/show/CNVD-2017-02775

http://www.cnvd.org.cn/flaw/show/CNVD-2017-02776

http://www.cnvd.org.cn/flaw/show/CNVD-2017-02777

http://www.cnvd.org.cn/flaw/show/CNVD-2017-02778

https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html?from=timeline&isappinstalled=0#pre-auth-root-rce