GeoVison，一家视频监视系统和IP摄像头台湾厂商，其名片和指纹扫描应用程序受到四个安全漏洞的影响。攻击者可利用这些漏洞劫持网络流量，并发动中间人攻击。该厂商最近修复了其中三个漏洞。

企业安全公司Acronis在一份报告中表示，它去年在对一家新加坡大型零售商的例行安全审计中发现了这些漏洞。

Acronis公司表示，“恶意攻击者可以在网络中建立持久性，在不被检测到的情况下监视内部用户，窃取数据。他们可以重复使用用户的指纹数据进入用户的家用或个人设备，恶意攻击者轻易就可以重复使用照片盗窃基于生物特征数据的身份。”

总体而言，这些漏洞影响至少6个设备系列，遍布在巴西、美国、德国、台湾和日本，超过2500个脆弱的设备暴露在线，数千个其他设备可被远程入侵。

第一个漏洞涉及之前未记录的root密码，攻击者只要借助默认的密码（“admin”）就可获取设备的后门访问权限，远程登录脆弱的设备（例如https://ip.of.the.device/isshd.htm）。

第二个漏洞源于在借助SSH进行身份认证时使用了硬编码的共享加密私钥，而攻击者可利用第三个漏洞在未经身份认证的情况下访问设备上的系统日志（例如https://ip.of.the.device/messages.txt和https://ip.of.the.device/messages.old.txt）。

最后，GeoVision指纹读取器的固件中存在一个缓冲区溢出漏洞，攻击者可利用该漏洞在设备上运行未授权的代码。该漏洞不需要事先身份认证。该漏洞的CVSS评分为10，是个超危漏洞。

除了向SingCert报告他们发现的漏洞外，Acronis公司表示它在去年8月与GeoVision初步联系，后续在9月和12月两次与该公司联系。但是直到这个月初，GeoVision才发布了三个漏洞的补丁（1.22版本），留下该缓冲区溢出漏洞未修复。

中国台湾的TWCERT就这三个漏洞（CVE-2020-3928，CVE-2020-3929和CVE-2020-3930）发布了安全公告，承认了漏洞，确认固件修复了漏洞以及新版本的可用性。

此外，在未披露该公司未修复的第四个超危远程代码执行漏洞的技术信息的情况下，我们可以说，攻击者可借助一个脆弱的参数利用该漏洞覆盖负责内存管理的内存结构。

该漏洞最终覆盖了特定结构中的指针，允许攻击者将程序的执行流重定向到自己的恶意代码并执行不同的命令。

Acronis公司CISOKevin Reed和安全研究人员AlexKoshelev表示，一旦攻击者完全控制了设备，他就可以自由安装自己的恶意固件，之后，就几乎不可能将他们从该网络上驱逐。

“看到一些厂商不急于修复超危漏洞，这是非常离奇的——除了低质量的初始源代码之外，后门的存在也很令人担忧。 这表明，物联网安全是有缺陷的，每个公司都必须明白，使用这样的设备会使他们暴露在长期完全没有缓解的风险中。”

本文源自The Hacker News；转载请注明出处。