中華資安國際鑑識實驗室發現知名數位監控設備弱點

中華資安國際鑑識實驗室發現知名數位監控設備(DVR)之弱點(CVE-2020-3923、CVE-2020-3924),指出知名DVR設備弱點可被攻擊者利用取得控制權限。


【風險等級】重大威脅


【影響範圍】

1.通航TAT-76系列DVR 20191216前版本

2.通航TAT-77系列DVR 20200213前版本


【細節描述】

1.CVE-2020-3923:TAT-76和TAT-77系列DVR設備韌體未妥適處理密碼資訊,攻擊者可解析程式內的預設金鑰資訊,破解該設備的密碼取得權限。

2.CVE-2020-3924:TAT-76和TAT-77系列DVR設備韌體的更新功能,未檢查韌體更新檔之合法性,攻擊者可注入指令來取得設備權限。


開發廠商接獲通報後已配合儘速釋出相關更新,若機關或企業有使用此DVR 設備,TAT-76系列DVR更新版本至20191216;TAT-77系列DVR更新版本至20200213。


中華資安國際建議採取以下防範措施:

1.使用者:確認DVR韌體版本是否已經更新至修補後的版本。

2.硬體開發商:建議導入安全程式開發流程(SSDLC)、事前進行安全程式碼開發教育訓練,並定期執行源碼檢測及滲透測試等安全檢測,才能有效地確保產品及用戶安全。


【參考資訊】

NIST(CVE-2020-3923)

NIST(CVE-2020-3924)

TWCERT(TVN-201910003)

TWCERT(TVN-201910004)