浙江大华摄像头被传用于DDoS攻击 杭州雄迈产品又爆root用户名和密码 欧洲委员会起草安全法规

欧洲委员会正在起草新的网络安全法规,以更好地保护物联网设备的安全,例如联网的安全摄像头、路由器和硬盘录像机(DVR)。这个预期提案传出消息时,正有安全公司警告说大量物联网设备仅具备少量甚至未配备安全防护。

根据Euractive.com的报道,欧洲委员会正在规划新的物联网法规,作为欧盟电信法规修订计划的一部分。Catherine Stupp写道:“欧洲委员会鼓励各公司提出一个标识系统,以标识经过认证的安全的联网设备。EU标识系统根据电器的耗能程度对电器进行评级,可以作为网络安全评级的模板。”

在上周的文章《谁令物联网遭受攻击?》中,作者看到了哪些公司该为被Mirai扫描到的物联网产品负责。Mirai是一个恶意软件。它通过扫描互联网找到使用默认用户名和密码的设备,然后强制有漏洞的设备参与威力极强的攻击,令网站下线。

杭州雄迈产品被曝Root用户名和密码

这些默认用户名/密码组合中,用户名root和密码xc3511被用于大量的白标电路板(硬盘录像机和IP摄像头组件)。这些电路板由中国杭州雄迈信息技术有限公司制造,卖给下游的制造商,然后被下游制造商用于自己产品。

这一消息出现在Flashpoint Intel本周公布的一篇分析文章上。Flashpoint Intel的分析师发现,只要在登录前转到DVR.htm页面,雄迈产品的web管理页面(http://ipaddress/Login.htm)可以轻易地被绕过,甚至都不需要提供用户名和密码。

雄迈信息技术有限公司Netsurveillance和CMS软件的默认登录界面如下

更糟的是,即使这些物联网设备的所有者通过设备的Web界面更改了默认凭据,攻击者仍然可以从互联网通过Telnet和SSH服务访问这些设备。Telnet和SSH是基于命令行和文本的界面,一般通过命令行窗口访问(例如,在微软Windows操作系统中,用户可以在开始菜单中运行cmd.exe打开命令行窗口,然后输入telnet,看到目标主机的用户名、密码提示符。)

来自Flashpoint的Zach Wikholm说:“这些设备的问题是,用户不能修改默认密码。默认密码被写死在固件中,并且不存在禁用密码的工具。更糟糕的是,web界面甚至不知道这些凭据的存在。”

Flashpoint的研究人员说,他们于10月6日在互联网上扫描,搜寻运行问题硬件的系统。结果,他们发现了51.5万个存在这个漏洞的系统。

Flashpoint是做什么的

据其网站资料显示,这是一家威胁情报公司,

无论你是专家或新的业务风险情报 (BRI) 的情报,我们努力提供有关的情报,可以帮助我们的客户做出明智的决定和减轻风险。我们独特的深网 & 暗网数据、 专长和技术使我们的客户以收集情报,保护他们经营的能力。

大华科技对华尔街日报的报道作出解释

Flashpoint说,在关于针对KrebsOnSecurity和其他目标的Mirai攻击的媒体报道中,大多数报道已经将中国高科技厂商大华的产品列为主要的易受攻击设备来源。确实,大华的产品在作者上周发布的分析文章中具有很大的代表性。

就大华本身而言,它似乎在淡化这个问题。周四,大华发表了一篇精心措辞的声明,对华尔街日报关于大华产品在Mirai僵尸网络攻击中所扮演角色的报道表示了不同意见。

“特此澄清,大华技术股份有限公司采用的是B2B商业模式,通过渠道销售产品。目前,在北美市场,我们并未通过网站或者零售商(比如亚马逊)直接向消费者和企业销售产品。亚马逊不是大华的授权经销商。我们正积极研究,以确认未经授权就销售我司产品的情况,并采取措施。在此可获取我司授权经销商的名单。”

大华说,该公司的调查显示,参与DDoS攻击的设备具有下列一个或多个特征:

  1. -使用2015年1月之前的固件。
  2. -使用默认用户名和密码。
  3. -未受有效的网络防火墙保护,直接暴露在互联网中。

大华还说,据该公司所知,在北美部署或销售的大华品牌设备并没有受到任何DDoS攻击的影响。

来自Flashpoint的Wikhom说,他对Mirai感染设备的分析显示了不同结果。在美国,大华产品构成了约65%的攻击源(总计约40万IP地址,其中约3000个美国IP地址)。

大华科技声明称DDoS僵尸网络利用了设备的默认密码

根据大华的声明,被用于DDoS僵尸网络的设备很可能使用默认密码。考虑到Mirai这样的威胁通过Telnet传播,并且默认密码不能被更改,这样的声明很狡猾。

多年以来,大华和其他物联网供应商在产品安全性方面都有免费通行证。但是,他们即将发现,几乎完全不考虑产品安全性的做法将产生后果。我敢打赌,欧洲委员会承诺的物联网法规将令一些物联网供应商付出很大代价。

另外,作者上周听说有两个律师正在考虑对物联网供应商提起集体诉讼。多年以来,这些物联网供应商一直为产品安全性开空头支票。现在,他们已经给互联网带来了令人头疼的大问题。

作者一般认为集体诉讼起不了太大作用。但在现在这种情况下,他们似乎有道理,因为这些公司在互联网上倾倒了大量的有毒垃圾。而且,没错,这些物联网设备拥有很长的半衰期。在未来的许多年,这些设备的大部分将继续保持运作(即连接到互联网且不处于不安全状态),直到它们的所有者将它们下线,或者厂商将它们召回。

也许大华看到了这个不祥之兆。在本周的声明中,大华证实了KrebsOnSecurity早先报道的传闻,并表示将提供以旧换新的优惠,作为“对希望替换2015年1月之前产品的客户的一种善意的姿态”。然而,因为该公司不直接向消费者销售产品,目前还不清楚终端用户是否能、如何能从这一优惠中获利。这家物联网供应商说:“经销商可以将这些产品送到大华授权经销商处,进行技术评估,以确认是否满足替换条件。”

本周,安全专家Bruce Schneier在Motherboard的一个帖子中辩称,物联网领域将基本上保持不安全状态并且易受攻击,直到政府介入并解决这个问题。

Schneier写道:“当市场失灵时,政府干涉是唯一的解决办法。政府可以强制实行安全法规,约束物联网制造商,迫使他们制造安全的设备(即使他们的客户不在乎)。

这些法规能规定制造商应负的责任,使得Brian Krebs这样的人能够控告他们。任何这样的法规都会增加不安全的成本,并刺激各公司增加投入以使产品更安全。”

作者不打算起诉与这些攻击相关的任何人。但作者很好奇,大家是怎么想的,亲爱的读者?法律诉讼和政府法规是否能缓解将在2020年前部署到互联网中的200亿台(据Gartner预计)物联网设备所带来的威胁?

关于浙江大华技术股份有限公司

浙江大华技术股份有限公司是领先的监控产品供应商和解决方案服务商,面向全球提供领先的视频存储、前端、显示控制和智能交通等系列化产品。

关于杭州雄迈信息技术有限公司

杭州雄迈信息技术有限公司是业内最具发展潜力的优质企业以领先的监控产品创新技术为核心竞争力致力于提供高品质高性价比的安防产品提供客户化的产品和点到点的服务。…

相关文章

Level3报告称中国大量摄像头被用于DDoS攻击 据说大华科技监控摄像头有漏洞

发表评论