Geutebrück网络摄像头被曝多个高危漏洞 已发布固件更新

E安全3月22日讯 德国 Geutebrück 网络摄像头被曝多个漏洞，但研究人员怀疑其它厂商（Ganz、Cap、Visualint、THRIVE Intelligence 和 UDP Technology）的网络摄像头也在使用同样的固件，也可能受这些漏洞威胁 。

研究人员目前只能证实这些漏洞影响了 Geutebrück G-Cam/EFD-2250 和 Topline TopFD-2125 网络摄像头，这两款产品均已停产，但 Geutebrück 为此已针对较新的 G-Cam 系列产品发布了固件版本 1.12.0.19，以修复漏洞。

存在多项高危漏洞

虽然路由器、网络摄像头和其它智能设备的安全漏洞不少，但这次漏洞较为严重，所有漏洞评分均在8.3~9.8分区间，属于高危漏洞。德国工业控制系统网络应急响应小组（简称ICS-CERT）的专家评估这些漏洞表示，即便是菜鸟黑客也能利用这些漏洞远程控制设备。

值得注意的是，很少在同样的设备上发现如此多不同类型的漏洞： SQL注入漏洞，跨站请求伪造（CSRF）漏洞，服务器端请求伪造（SSRF）漏洞，不正确的身份验证和访问控制漏洞。

ICS-CERT 于当地时间3月20日发布漏洞公告表示，黑客可利用这些漏洞扫描代理网络、访问数据库，将未经授权的用户添加到系统中，下载完整的配置（包括密码）以及执行远程代码。

这些漏洞是帮助物联网僵尸网络存活的福音。目前，网上尚未出现公开的利用代码，但这只是时间问题。通常，重大漏洞披露后几天之内，网上就会出现利用代码。

专家建议用户，在未安全固件更新的情况下，勿将这些网络摄像头联网。固件更新可在 Geutebrück 网站获取（https://www.geutebrueck.com/en_EN/login.html）

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/798006744.shtml