据Security affairs大华摄像头的两个漏洞PoC(概念验证程序)已在网络上泄露,漏洞编号为CVE-2021-33044 和 CVE-2021-33045,通过构建恶意数据包,攻击者可以绕过设备身份验证。
影响多种型号
虽然这些漏洞最早发现于2021年6月13日,但大华直到9月初才发布安全公告,包括: IPC-X3XXX、HX5XXX、HUM7XX、VTO75X95X、VTO65XXX、VTH542XH、云台球型摄像机SD1A1、SD22、SD49、SD50、SD52C、SD6AL、热敏TPC-BF1241、TPC221-TBF2 -SD2221、TPC-BF5XXX、TPC-SD8X21、TPC-PT8X21B、NVR1XXX、NVR2XXX、NVR4XXX、NVR5XXX、NVR6XX。
据bleepingcomputer在Shodan搜索引擎搜索时,世界上至少有120 1000台大华设备可能存在风险。事实上,攻击者可以通过相关搜索找到有风险的大华设备,并通过发布 PoC 代码破解它。
因此,用户必须尽快安装最新的固件版本。
如何保护?
除了将潜在威胁的大华摄像头型号升级到最新的固件版本外,还应更改设备的初始密码。即将到来“admin”默认密码更改为复杂安全的密码。
另外,如果是无线摄像头,也应该使用 WPA2 尽可能加密和 IoT 设置单独的隔离网络。若设备已启用云,可自动从控制界面进行修复升级。