数万台大华设备现漏洞 密码暴露于ZoomEye物联网搜索引擎
据外媒报道,数以万计大华设备的登陆密码被缓存在zoomeye的搜索结果中,这意味着它们处于危险之中。zoomeye是一个用于发现连接互联网设备的搜索引擎,也被称为物联网搜索引擎。
ankit anubhav是一家专门从事物联网安全的网络安全公司newsky security的首席研究员。他发现,这些密码适用于运行有老旧固件的大华dvr(数字视频录像机),该固件易受五年漏洞的影响。
该漏洞名为cve-2013-6117,它是由depth security的安全研究者jake reynolds发现和披露的。
根据研究人员的博客文章,他解释了整个过程:攻击者可以在37777端口上的大华dvr启动原始tcp连接,以发送特殊的有效载荷。
一旦大华设备收到此有效负载,它将以ddns凭证响应以访问设备和其他数据,这一切都是以明文形式进行响应。
自2013年以来,该漏洞就已经为人所知,并且被修补。但是,许多大华设备所有者未能更新其设备,甚至直到今天仍然在线部署运行过时固件的dvr。
但是,这听起来很糟糕,但事实或许会更严重。本周早些时候,anubhav发现物联网搜索引擎zoomeye已经以这种方式对大华设备进行索引。
anubhav告诉bleeping computer,“事实上,黑客不需要利用此漏洞,因为当zoomeye扫描端口37777时,它会传递这些特殊字节并以明文缓存输出,因此黑客只需要去zoomeye,创建一个免费账户,并通过结果就能获取凭据。”
该搜索引擎的所有者称,“在zoomeye中阻止数据并不能解决问题”,并且他并不打算删除这些数据。
newsky研究人员表示,他从brickerbot物联网恶意软件作者发布的帖子中了解到这一伎俩。该恶意软件是去年参与其中的一个恶意软件,它将不安全的设备打包,试图让它们脱机而不是添加到物联网僵尸网络。
bleeping computer进行了快速搜索,发现了令人担忧的易受攻击设备。例如,它们发现近15800个大华设备,密码为“admin”,超过14000个,密码为“123456”,超过600个,密码为“password”。
功率信号源在超声波及智能骨料损伤监测中的应用
诺基亚X6怎么样 到底值不值得买
2023年骨传导蓝牙耳机排行榜前十,最好的骨传导耳机品牌排名
电力调度自动化系统中工控主板的解决方案
闻泰收购安世半导体_高通宣布新股票回购计划
数万台大华设备现漏洞 密码暴露于ZoomEye物联网搜索引擎
ABB机器人示教器转数计数器更新的步骤
微逆江湖,WAYON维安功率半导体新战场
基于MIPI UniPro堆栈的设计和验证
芯朋微上半年净利润约4808万元,同比下降17%
行业 | 苹果要求鸿海集团8月起在印度组装最新款iPhone
人工智能技术存在哪一些局限
基于单片机的太阳能热水器智能仪
经典蓝牙为什么不能做到低功耗?
如何应用Anomalib在数据集不平衡的情况下检测缺陷?
纳米软件助力二十大顺利召开,为科技自强添砖加瓦
关于“阿尔法智能人形机器人”炫酷表演引爆高交会的表现
一加5什么时候上市最新消息:同为骁龙835,选择小米6还是选择一加5旗舰新机你看着办!
液晶ITO薄膜失效分析
半导体存储芯片分类浅述
ankit anubhav是一家专门从事物联网安全的网络安全公司newsky security的首席研究员。他发现,这些密码适用于运行有老旧固件的大华dvr(数字视频录像机),该固件易受五年漏洞的影响。
该漏洞名为cve-2013-6117,它是由depth security的安全研究者jake reynolds发现和披露的。
根据研究人员的博客文章,他解释了整个过程:攻击者可以在37777端口上的大华dvr启动原始tcp连接,以发送特殊的有效载荷。
一旦大华设备收到此有效负载,它将以ddns凭证响应以访问设备和其他数据,这一切都是以明文形式进行响应。
自2013年以来,该漏洞就已经为人所知,并且被修补。但是,许多大华设备所有者未能更新其设备,甚至直到今天仍然在线部署运行过时固件的dvr。
但是,这听起来很糟糕,但事实或许会更严重。本周早些时候,anubhav发现物联网搜索引擎zoomeye已经以这种方式对大华设备进行索引。
anubhav告诉bleeping computer,“事实上,黑客不需要利用此漏洞,因为当zoomeye扫描端口37777时,它会传递这些特殊字节并以明文缓存输出,因此黑客只需要去zoomeye,创建一个免费账户,并通过结果就能获取凭据。”
该搜索引擎的所有者称,“在zoomeye中阻止数据并不能解决问题”,并且他并不打算删除这些数据。
newsky研究人员表示,他从brickerbot物联网恶意软件作者发布的帖子中了解到这一伎俩。该恶意软件是去年参与其中的一个恶意软件,它将不安全的设备打包,试图让它们脱机而不是添加到物联网僵尸网络。
bleeping computer进行了快速搜索,发现了令人担忧的易受攻击设备。例如,它们发现近15800个大华设备,密码为“admin”,超过14000个,密码为“123456”,超过600个,密码为“password”。
功率信号源在超声波及智能骨料损伤监测中的应用
诺基亚X6怎么样 到底值不值得买
2023年骨传导蓝牙耳机排行榜前十,最好的骨传导耳机品牌排名
电力调度自动化系统中工控主板的解决方案
闻泰收购安世半导体_高通宣布新股票回购计划
数万台大华设备现漏洞 密码暴露于ZoomEye物联网搜索引擎
ABB机器人示教器转数计数器更新的步骤
微逆江湖,WAYON维安功率半导体新战场
基于MIPI UniPro堆栈的设计和验证
芯朋微上半年净利润约4808万元,同比下降17%
行业 | 苹果要求鸿海集团8月起在印度组装最新款iPhone
人工智能技术存在哪一些局限
基于单片机的太阳能热水器智能仪
经典蓝牙为什么不能做到低功耗?
如何应用Anomalib在数据集不平衡的情况下检测缺陷?
纳米软件助力二十大顺利召开,为科技自强添砖加瓦
关于“阿尔法智能人形机器人”炫酷表演引爆高交会的表现
一加5什么时候上市最新消息:同为骁龙835,选择小米6还是选择一加5旗舰新机你看着办!
液晶ITO薄膜失效分析
半导体存储芯片分类浅述