安全公告编号:CNTA-2017-0050
近期,国家信息安全漏洞共享平台(CNVD)收录了海康威视与大华股份网络摄像机存在身份认证绕过漏洞、配置文件密码泄露等漏洞(CNVD-2017-06977、CNVD-2017-08191、CNVD-2017-08192、CNVD-2017-06997)。综合利用上述漏洞,远程攻击者可利用漏洞提升权限或加密其他用户身份获取敏感信息,并控制网络设备。由于漏洞利用较为简单,有可能被黑客组织利用于传播网络病毒(如:蠕虫)。
一、漏洞情况分析
Hikvision
Cameras、Hikvision DS-2CD2xx2F-I
等系列为海康威视(Hikvision)公司(股票代码:SZ.002415)的网络摄像机产品;大华DH-IPC-HDBW23A0RN-ZS等系列设备为大华(DaHua)公司(股票代码:SZ.002236)的网络摄像机产品。多款网络摄像机产品存在类似身份认证不当漏洞与配置文件密码泄露漏洞,远程攻击者可利用漏洞提升权限或加密其他用户身份获取敏感信息,并控制网络设备。
详情如下:

CNVD对上述漏洞综合评级为“高危”。
二、防护建议
目前,海康威视公司和大华公司已及时给出了上述漏洞的安全解决方案,请访问厂商主页及时修复漏洞:
http://www.hikvision.com/us/about_10805.html
http://www.hikvision.com/us/about_10807.html
http://us.dahuasecurity.com/en/us/Security-Bulletin_030617.php
http://us.dahuasecurity.com/en/us/Security-Bulletin_04032017.php
若未能及时升级,建议可以通过临时关闭网络摄像机产品的远程管理界面或认证端口来防范网络攻击。
附:参考链接:
http://www.securityfocus.com/bid/98312
http://www.securityfocus.com/bid/98313
https://nvd.nist.gov/vuln/detail/CVE-2017-7921
https://nvd.nist.gov/vuln/detail/CVE-2017-7923
https://nvd.nist.gov/vuln/detail/CVE-2017-7925
https://nvd.nist.gov/vuln/detail/CVE-2017-7927
http://www.cnvd.org.cn/flaw/show/CNVD-2017-06977
http://www.cnvd.org.cn/flaw/show/CNVD-2017-08191
http://www.cnvd.org.cn/flaw/show/CNVD-2017-08192
http://www.cnvd.org.cn/flaw/show/CNVD-2017-06997
国家计算机网络应急技术处理协调中心湖南分中心(中文简称湖南省互联网应急中心,英文简称HNCERT)是国家计算机网络应急技术处理协调中心(中文简称国家互联网应急中心,英文简称CNCERT/CC)在湖南省的省级分中心,受CNCERT/CC与湖南省通信管理局的双重领导,在湖南省作为公共互联网网络安全事件的“发现中心、通报中心、处置中心、技术支撑中心”,通过已有应急体系和自身技术平台对我省公共互联网络相关的安全威胁进行常规和重点发现,并定期发布本省网络安全情况通报,为我省公共互联网、重要政府部门、电信运营企业、重要信息系统提供计算机网络安全的发现、预警、通报、处置等技术支撑。