雷鋒網(wǎng)消息，7 月 3 日，雷鋒網(wǎng)從白帽匯安全研究院旗下的 NOSEC 了解到，Axis 攝像頭被報(bào)存在一系列安全漏洞。該漏洞可使攻擊者在連環(huán)利用多個(gè)漏洞后獲取 root 權(quán)限 shell 進(jìn)行遠(yuǎn)程命令執(zhí)行或直接進(jìn)行拒絕服務(wù)或獲取敏感信息。

該漏洞影響Axis從1.x 到8.x 眾多系列390 多個(gè)型號(hào)。

Axis 產(chǎn)品專注于安全監(jiān)視和遠(yuǎn)程監(jiān)控應(yīng)用領(lǐng)域，在全球的20個(gè)國家和地區(qū)開設(shè)有分支機(jī)構(gòu)，并與超過 70個(gè)國家和地區(qū)的合作伙伴展開合作。據(jù)華順信安 FOFA 系統(tǒng)數(shù)據(jù)顯示，目前全網(wǎng)共有  25908 個(gè)系統(tǒng)對(duì)外開放。Axis 的使用受眾數(shù)量龐大，該漏洞將影響眾多的企業(yè)單位使用者，相關(guān)企業(yè)、使用者需要高度重視。

AXIS網(wǎng)絡(luò)攝像頭全球網(wǎng)絡(luò)資產(chǎn)分布情況（僅為分布情況，非漏洞影響情況）

AXIS網(wǎng)絡(luò)攝像頭中國網(wǎng)絡(luò)資產(chǎn)分布情況（僅為分布情況，非漏洞影響情況）

這些漏洞將直接導(dǎo)致攻擊者可訪問攝像頭視頻流，凍結(jié)攝像頭視頻流，控制攝像頭 – 將鏡頭移動(dòng)到需要的位置，開啟/關(guān)閉 運(yùn)動(dòng)檢測，將此攝像頭納入僵尸網(wǎng)絡(luò)中，替換攝像頭的軟件，使用攝像頭作為網(wǎng)絡(luò)的滲透點(diǎn)（進(jìn)行橫向移動(dòng)），渲染無用的攝像頭，使用攝像頭執(zhí)行其他惡意的任務(wù)（如 DDOS 攻擊，挖礦等）。

華順信安創(chuàng)始人趙武強(qiáng)調(diào)：“一個(gè)設(shè)備也就幾十塊錢，大家買的時(shí)候想，壞了也就壞了，能有什么損失。黑客用實(shí)際行動(dòng)告訴大家，我不要你的命，我要你們終生為奴，你的設(shè)備是我的，你的帶寬是我的，你的隱私也是我的。是不是很邪惡？”

漏洞詳情及受影響的設(shè)備型號(hào)請(qǐng)見原文鏈接：【漏洞預(yù)警】AXIS大量攝像頭產(chǎn)品多個(gè)連環(huán)漏洞利用，影響嚴(yán)重。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。