前不久智能摄像头遭入侵，隐私曝光事件传的是沸沸扬扬，装有摄像头的家庭人人自危。而就在近期，国家信息安全漏洞共享平台再次曝出漏洞。报告指出，海康威视与大华股份网络摄像机存在身份认证绕过漏洞、配置文件密码泄露等漏洞。

据微信公号“新疆互联网应急中心”消息，近期，国家信息安全漏洞共享平台（CNVD）收录了海康威视与大华股份网络摄像机存在身份认证绕过漏洞、配置文件密码泄露等漏洞（CNVD-2017-06977、CNVD-2017-08191、CNVD-2017-08192、CNVD-2017-06997）。综合利用上述漏洞，远程攻击者可利用漏洞提升权限或加密其他用户身份获取敏感信息，并控制网络设备。由于漏洞利用较为简单，有可能被黑客组织利用于传播网络病毒（如：蠕虫）。

一、漏洞情况分析

Hikvision Cameras、Hikvision DS-2CD2xx2F-I 等系列为海康威视（Hikvision）公司（股票代码：SZ.002415）的网络摄像机产品；大华DH-IPC-HDBW23A0RN-ZS等系列设备为大华（DaHua）公司（股票代码：SZ.002236）的网络摄像机产品。多款网络摄像机产品存在类似身份认证不当漏洞与配置文件密码泄露漏洞，远程攻击者可利用漏洞提升权限或加密其他用户身份获取敏感信息，并控制网络设备。

详情如下：

CNVD对上述漏洞综合评级为“高危”。

二、防护建议

目前，海康威视公司和大华公司已及时给出了上述漏洞的安全解决方案，请访问厂商主页及时修复漏洞：

http://www.hikvision.com/us/about_10805.html

http://www.hikvision.com/us/about_10807.html

http://us.dahuasecurity.com/en/us/Security-Bulletin_030617.php

http://us.dahuasecurity.com/en/us/Security-Bulletin_04032017.php

若未能及时升级，建议可以通过临时关闭网络摄像机产品的远程管理界面或认证端口来防范网络攻击。

附：参考链接

http://www.securityfocus.com/bid/98312

http://www.securityfocus.com/bid/98313

https://nvd.nist.gov/vuln/detail/CVE-2017-7921

https://nvd.nist.gov/vuln/detail/CVE-2017-7923

https://nvd.nist.gov/vuln/detail/CVE-2017-7925

https://nvd.nist.gov/vuln/detail/CVE-2017-7927

http://www.cnvd.org.cn/flaw/show/CNVD-2017-06977

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08191

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08192

http://www.cnvd.org.cn/flaw/show/CNVD-2017-06997