F-Secure 分析报告：中国互联网摄像机 Foscam 被曝 18 处漏洞

据外媒 6 月 8 日报道，全球领先安全公司 F-Secure 专家发现中国互联网摄像机 Foscam 产品存在 18 处漏洞，其允许攻击者接管互联网摄像机，上传与下载内置 FTP 服务器文件及查看用户视频。

F-Secure 表示，尽管他们于数月前就已在 Foscam C2 与 Opticam I5 HD 型号中发现漏洞并报告给 Foscam 制造商，但这些漏洞目前仍未被修复。安全专家认为，同样的漏洞可能会影响 Foscam 其他 14 个品牌型号，包括 Chacon、7links、Netis 与 Turbox 等。此外，攻击者还可利用该设备漏洞作为目标网络接入点，即或将危及本地网络中的其他互联网设备。

调查显示，安全专家从 Foscam C2 与 Opticam I5 HD 型号中发现的漏洞主要包括不安全的默认凭证、硬编码凭证、隐藏无证 Telnet 功能、远程命令注入、分配编程脚本的不正确权限、防火墙泄漏有关凭证的有效详细信息、持续跨站点脚本编制与基于堆栈缓冲区的溢出攻击等。

安全专家强调，因为 Foscan 使用的硬编码凭证不能更改，所以用户即使修改摄像机 IP 默认凭证，其设备仍将遭受黑客网络攻击。如果攻击者在互联网上发现并公布密码，即可访问该设备并窃取私人数据。此外，由于所有摄像机设备均具有相同密码，其攻击者可轻松在各设备之间传播恶意软件。F-Secure 专家建议用户在运行摄像机 IP 凭证时，避免外网访问且更改默认凭证及定期检查安全更新。

附：F-Secure 原文分析报告《摄像机与攻击: 物联网如何削弱你的竞争优势》

原作者：Pierluigi Paganini，译者：青楚 

from hackernews.cc.thanks for it.