前言:
眼前同学们对“美国hdxxx”大约比较关切,大家都想要分析一些“美国hdxxx”的相关文章。那么小编也在网上汇集了一些对于“美国hdxxx””的相关知识,希望我们能喜欢,小伙伴们一起来了解一下吧!研究人员在大华 IP 摄像机中发现了一个严重漏洞,该漏洞可能允许攻击者接管设备。供应商在错误报告之后修补了漏洞,敦促用户尽快更新他们的设备。
大华是一家提供视频监控产品的科技公司。这是一家受欢迎的公司,在许多国家都有代表处。该公司生产众多安全设备,包括网络记录仪、网络摄像机、对讲机、无人机等。 有问题的错误通常会影响实施开放网络视频接口论坛 (ONVIF) 的 IP 摄像机。研究人员在分析 IPC-HDBW2231E-S-S2 摄像头时注意到了该漏洞,试图找到设备指纹的详细信息。在此测试期间,他们注意到如何伪造 CreateUsers 请求以添加未经身份验证的管理员帐户。设备接受了请求,证明了 WS-UsernameToken 身份验证机制中的漏洞。 对新创建的帐户进行测试后证实,这样做的对手可以完全控制目标设备。只需“嗅探一个使用 WS-UsernameToken 模式进行身份验证的未加密 ONVIF 请求”。
大华修复Bug
发现漏洞后,研究人员将此事报告给大华,大华最终解决了这个问题。 根据大华的公告,该漏洞 CVE-2022-30563 的 CVSS 基础评分为 6.8。描述它,咨询写道, 当攻击者使用中间人攻击嗅探请求包并通过ONVIF成功登录时,可以通过重放用户的登录包来登录设备。 此外,供应商还修复了设备中其他三个相对不太严重的漏洞。 CISA 也针对这些漏洞发布了警报,将以下型号列为受影响的设备。 大华ASI7XXX:v1.000.0000009.0.R.220620之前的版本 大华IPC-HDBW2XXX:v2.820.0000000.48.R.220614之前的版本 大华IPC-HX2XXX:v2.820.0000000.48.R.220614之前的版本 由于补丁版本已经发布,CISA 敦促用户尽早更新他们的设备以保持安全。
本文来自hack密码投稿,不代表资源分享网立场,如若转载,请注明出处:http://duduzhe.cn/fb811B2pUVwdUAFY.html
微信扫一扫 
支付宝扫一扫 
发表回复
评论列表(0条)