微慑信息网

三星智能摄像头存在漏洞 可被黑获得 root 权限

安全人员在三星智能摄像头当中发现一个新的安全漏洞,攻击者借此可以获得 root 权限,并且远程运行命令。三星智能摄像头从本质上讲是一个 IP 摄像头,它允许用户从任何地点使用三星自家的服务连接并查看实时视频或记录事件,提供了无缝的婴儿或宠物监控、企业和家庭的安全监控。

exploitee.rs 网站公布了三星智能摄像头当中存在的一个漏洞,可以允许攻击者使用三星上次为智能摄像头修复漏洞而无意留下的一个 web 服务器,获得对设备的 root 访问权限。具体而言,三星试图通过去除本地网络接口,并迫使用户访问 SmartCloud 网站来修复设备的安全漏洞,但在同一时间,该公司还继续让服务器功能在本地运行。而事实证明,一个可能的漏洞使攻击者通过推送定制固件文件连接到这个 Web 界面。

该 IWATCH install.php 漏洞可以通过制定专门的文件名,然后存储在 PHP 系统调用 tar 命令加以利用。由于 Web 服务器作为 root 运行,文件名由用户提供,输入时没有安全处理,黑客可以内注入自己的命令来实现 root 远程命令执行。

目前,三星尚未出台新的漏洞补丁来修复智能摄像头存在的这个漏洞。

稿源:cnBeta.com;封面:cnBeta

 

from hackernews.cc.thanks for it.

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 三星智能摄像头存在漏洞 可被黑获得 root 权限

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫

微信扫一扫

登录

找回密码

注册