监视摄影机业者Hikvision修补可接管设备的RCE漏洞

中国监视摄影设备大厂海康威视（Hikvision）本周发出安全公告，以修补一个可能让攻击者接管摄影机设备、存取内部网络的远端程式码执行（RCE）漏洞。

Hikvision修补的CVE-2021-36260，是由安全厂商Watchful_IP所发现。它是位于Hikvision固件中的指令注入漏洞，研究人员并未提供说明细节，仅指出，该漏洞可让攻击者透过SSH连线，绕过Hikvision web portal验证，下达不受限的根shell指令，接管整合设备，或是存取持有人才有权存取的资讯。该漏洞允许攻击者取得比装置持有人还大的权限，因为后者只能在“受保护shell”下达一组已预先定义好的资讯类指令。

研究人员补充，除了接管IP摄影机外，攻击者也可能透过该漏洞存取内部网络。

利用CVE-2021-36260，攻击者不需使用者互动即可于远端执行指令，使其成为最高风险的零点击程式码执行（RCE）的重大风险漏洞，风险值列为9.8。

这项漏洞影响今年6月以前众多版本的Hikvision固件，波及的设备包括IP 摄影机及PTZ摄影机70余款，以及部分网络监控主机（NVR）。Hikvision已经在7月释出最新版本固件IPC_G3 (V5.5.800 build 210628) 及IPC H5 (V5.5.800 build 210628)。

美国网络安全主管机关也在本周呼吁企业管理员及早安装最新版本固件。