Sony IPELA E 系列网络摄像头远程命令执行漏洞预警

作者:知道创宇404实验室

时间:2018年7月24日

1. 背 景

索尼[1]是世界视听、电子游戏、通讯产品和信息技术等领域的先导者,是世界最早便携式数码产品的开创者,是世界最大的电子产品制造商之一。

2018 年 07 月 20 日,Sony IPELA E 系列网络摄像头被曝出存在远程命令执行漏洞, 网上已经公开了漏洞细节[2]。该系列摄像头由于未对用户的输入进行过滤,而直接拼接成命令字符串并执行,攻击者可基于此执行任意命令,进一步完全接管摄像头,该漏洞被赋予编号 CVE-2018-3937。该漏洞的利用难度很低,通过原漏洞详情中的说明,2018 年 07 月 19 日,Sony 官方已发布该漏洞的补丁。

2018 年 07 月 24 日,Seebug 漏洞平台[3]收录了该漏洞。知道创宇404实验室迅速跟进,复现了该漏洞。

漏 洞 影 响

通过ZoomEye网络空间搜索引擎[4]对app:”SonyNetworkCamerahttpd” 关键字进行搜索,共得到 6,468 条 IP 历史记录。从本地验证的过程来看,该漏洞的利用难度很低。

受漏洞影响设备的国家分布如下,主要分布在美国、越南、德国等国家。

漏 洞 修 复

根据原漏洞详情的说明,Sony官方已经发布相关补丁修复了该漏洞,请及时根据对应摄像头型号下载安装新版固件[5]。

?

相 关 链 接

[1] 索尼

https://pro.sony/en_GB/

[2] 漏洞细节

https://www.talosintelligence.com/vulnerability_reports/TALOS-2018-0604

[3] Seebug漏洞平台

https://www.seebug.org/vuldb/ssvid-97429

[4] Zoomeye网络空间搜索引擎

https://www.zoomeye.org/searchResult?q=%20%2Bapp%3A%22Sony%20Network

[5] 新版固件

https://pro.sony/en_GB/support/software/

原文发布于微信公众号 - Seebug漏洞平台(seebug_org)

原文发表时间:2018-07-31

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云计算D1net

Office入驻Chrome Web应用商店

4月15日消息,微软宣布,Chrome用户可以在Chrome应用软件启动界面增加Word Online,Powerpiont以及OneNote Online工具...

28540
来自专栏企鹅号快讯

虚拟系统管理Kaseya VSA遭黑客滥用 受感染系统秒变门罗币挖矿机

“用指尖改变世界” ? 根据网络安全公司eSentire在本周二发布的调查报告称,自2018年1月19日起,黑客开始利用Kaseya VSA(虚拟系统管理)存在...

24650
来自专栏知识分享

太阳能锂电池充电电路

原先的 ? 现在的 ? 为了充分利用太阳能电池板产生的电,做了以上修改。 实测,现在的充电电流是原先的2~3倍,甚至更多。  重点说一下,自己用光敏电阻传感器模...

39070
来自专栏ytkah

如何快速查找微信公众平台的历史图文消息素材

  我们在设置微信公众平台关键词自动回复时经常会添加相应的图文消息,但是随着运营时间的增长创建的微信图文消息越来越多,或者同事出差一段时间让你代运营而你对他之前...

36770
来自专栏安恒网络空间安全讲武堂

Geutebrück网络摄像头被曝多个高危漏洞,已发布固件更新

德国 Geutebrück 网络摄像头被曝多个漏洞,但研究人员怀疑其它厂商(Ganz、Cap、Visualint、THRIVE Intelligence 和 U...

31840
来自专栏人人都是极客

做嵌入式开发知道这些,你才看起来像个高手!

做嵌入式系统开发,经常要接触硬件,需要对数字电路和模拟电路要有一定的了解,这样才能深入的研究下去。下面我们简单地介绍一下嵌入式开发中的一些硬件相关的概念。

16520
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–自建资产(资本投资订单)(164)-2 KO04投资订单

4 流程步骤 4.1 KO04创建投资订单 本活动创建了投资订单。 创建并批准资本资产请求。 角色:资产会计 会计核算 -控制 -内部订单 -主数据 -订单管...

35440
来自专栏安恒信息

IE8爆出0day,影响所有版本Windows

日前,安全研究人员发现IE8的0day(CVE-2013-1347)被应用于攻击美国政府的核武器科学家和研究人员中,微软发布警告所有Intern...

29370
来自专栏FreeBuf

看个视频也被黑?加载字幕文件触发播放器漏洞实现系统入侵

Checkpoint研究人员最近发现了一种新型攻击手段–字幕攻击,当受害者加载了攻击者制作的恶意字幕文件后将会触发播放器漏洞,从而实现对受害者系统“悄无声息”地...

24780
来自专栏FreeBuf

网络罪犯:互联网丛林中的捕猎者

作者 Rabbit_Run 概述 任何使用互联网的人都身处危险之中,不分你年龄几何,不管你在网络上喜欢做什么。网络罪犯能够部署一个强大的军火库,瞄准任何可能的...

23260

扫码关注云+社区

领取腾讯云代金券