问题大华直接将DVR与IP摄像机的配置文件存在服务器上,任何知道IP的人都可直接下载这些配置文件。
而这些配置文件中又包含了DVR和IP摄像机的账号信息,所以通过这些关键性的账号信息直接登录就行了。
研究人员怀疑这是大华故意留下了的后门程序,于是直接先将漏洞信息通知安全社区再向浙江大华通报情况。
浙江大华在收到研究人员的通知后就准备了新版本固件,日前这些新版固件已经提供给了用户进行下载更新。
同时浙江大华发布声明称这是软件上的疏忽而不是故意留下的后门,调查显示漏洞目前尚未被攻击者利用。
由于可能会有更多的设备受到该漏洞的影响,预计浙江大华近期会陆续更新其他设备的固件来封堵这个漏洞。
目前已确认的受影响的设备:
DH-IPC-HDW23A0RN-ZS 新版本固件
DH-IPC-HDBW23A0RN-ZS 新版本固件
DH-IPC-HDBW13A0SN 新版本固件
DH-IPC-HDW13A0SN 新版本固件
DH-IPC-HFW13A0SN-W 新版本固件
DH-IPC-HDBW13A0SN 新版本固件
DH-IPC-HDW13A0SN 新版本固件
DH-IPC-HFW13A0SN-W 新版本固件
DHI-HCVR51A04HE-S3 新版本固件
DHI-HCVR51A08HE-S3 新版本固件
DHI-HCVR58A32S-S2 新版本固件