大华摄像机存在安全漏洞：黑客可远程监控你的摄像头

　　

　　浙江大华技术股份有限公司是领先的监控产品供应商和解决方案服务商,面向全球提供领先的视频存储、前端、显示控制和智能交通等系列化产品。其公司的摄像头产品大量的分布在智慧城市、智能交通、等重要场所。

　　近日360无线电硬件实验室&攻防实验室共同发现该摄像头产品存在多处安全漏洞，这些漏洞将可能危害到公共隐私、安全。

　　问题1：

　　大华摄像机存在默认的管理密码（admin/admin），虽然在公网环境中限制了对80端口的访问，但是可以通过配套的摄像机终端软件，通过37777端口访问摄像机内容，可以接入硬盘录像机批量控制多个摄像头，通过云台控制摄像角度等。根据目前统计全球大约有68,838设备可通过公网直接访问。呼吁广大摄像头使用者尽快修复口令。

　　漏洞证明:

　　大华摄像头目前在国内诸多智慧城市建设中都有广泛的应用，如果被不法分子通过漏洞利用后果不堪设想。

　　

问题2：

　　经过分析我们还发现，无需口令可通过指定端口访问大华摄像头内容。攻击者可通过访问摄像头访问指定端口，绕过web管理登陆机制，直接访问到摄像头拍摄内容。可以看到摄像头当前拍摄的图片。

　　漏洞证明：

　　

近期海康威视也曾被爆存在类似严重漏洞可危害全国上百万台设备，根据我们目前统计国内大多数摄像头都存在同样的问题，主要是因为设备生产厂商出场预置的登陆口令在用户使用过程中未强制要求修改、使用者自身也不存在安全意识导致。

　　360安全专家在此提醒广大网名，如果使用类似网络摄像头请务必及时修改默认密码，并尽可能避免该摄像头在共网上可以直接访问。

　　监控产品本身作为维护国家公共安全的重要工具，遍布国家重要机构和群众生活的各个领域，以其为入口的信息包含了从国家安全机密到普通百姓日常生活隐私的各个方面。造成的信息泄露损失和未来潜在的威胁难以估量。360安全实验室非常希望能够跟各大摄像头安全厂商建立良好的合作，帮助厂家提高产品的安全水平。

　　相关报道内容：

　　2014年11月19日海康威视设备被爆出三个CVE高危漏洞。编号为：CVE-2014-4878、CVE-2014-4879CVE-2014-4880

　　2014年12月10日全球互联网范围DNS流量异常大部分攻击源为受感染的海康威视设备

　　2015年2月27日江苏省公安厅在内部文件中称，省内各级公安机关使用的海康威视监控设备“存在严重安全隐患”，“部分设备已被境外IP地址控制”

　　相关媒体报道：

　　海康威视:“安全门”属网络安全事件网易财经2015年3月4号

　　海康威视深陷"安全门"公司股票复牌后放...网易财经2015年3月3号

　　海康威视存被指存严重安全隐患公司称未...新华网2015年3月3号

　　安全建议方案：

　　1.尽快修改摄像机的默认口令。

　　2.关闭大华摄像机的9989端口，限制用户访问。

　　3.使用路由器做访问控制限制公网用户直接访问大华摄像机访问。

　　4.等待厂商最新更新补丁。