freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

iLnkP2P漏洞曝光,200万台物联网设备易被远程入侵
2019-04-29 11:58:48

据媒体报道,研究人员发现P2P通信软件组件iLnkP2P存在严重安全漏洞,允许黑客远程控制、访问物联网设备,全球200多万台设备受影响。

image.png

图片来源于pixabay

 

据悉,该软件由一家深圳公司开发,被广泛应用于婴儿监视器、智能门铃、数字录像机、安全摄像头和网络摄像头等设备中,用户仅需下载移动应用,扫描设备上的二维码或输入六位数ID,即可从任意地方快速访问设备。通过审查该公司官网的HTML源代码,研究人员发现该网站遭到黑客模糊脚本攻击,已被重定向到中文游戏网站。

 

此次曝光的漏洞由研究人员Paul Marrapese发现,分别是枚举漏洞CVE-2019-11219和认证漏洞CVE-2019-11220,允许黑客快速发现在线设备,绕过防火墙限制直接连接联网设备,执行中间人攻击并远程控制设备。

image.png

图片来源于pixabay

 

Marrapese通过构建概念验证攻击确认,仅需获取设备特定序列号(UID),即可发送恶意消息取代设备发出的任意消息,以纯文本形式通过客户端身份验证,获取设备凭证。然而,因为大多数用户都使用出厂默认密码运行设备,因此即使黑客未拦截设备密码,也可使用物联网设备生产厂商的默认凭证接管数百万台设备。

 

受该漏洞影响的设备包括HiChip、TENVIS、SV3C、VStarcam、Wanscam、NEO Coolcam、Sricam、Eye Sight和HVCAM。其中近半数由HiChip生产,设备ID前缀为FFFF、GGGG、HHHH、IIII、MMMM和ZZZZ,约39%位于中国,19%位于欧洲,还有7%位于美国。

image.png

图片来源于unsplash

 

截至目前,暂无切实可行的方法关闭受影响设备上的P2P功能,研究人员已通知国家互联网应急中心(CERT)、iLnk及6家主要供应商,暂未得到回复。专家建议用户可通过识别设备特定序列号(UID)避免购买或使用受影响设备。

来源:http://u6.gg/sxGpU

本文作者:, 转载请注明来自FreeBuf.COM

被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦