中華資安國際鑑識實驗室發現知名數位監控設備弱點

中華資安國際鑑識實驗室發現知名數位監控設備(DVR)之弱點(CVE-2020-3923、CVE-2020-3924)，指出知名DVR設備弱點可被攻擊者利用取得控制權限。

【風險等級】重大威脅

【影響範圍】

1.通航TAT-76系列DVR 20191216前版本

2.通航TAT-77系列DVR 20200213前版本

【細節描述】

1.CVE-2020-3923：TAT-76和TAT-77系列DVR設備韌體未妥適處理密碼資訊，攻擊者可解析程式內的預設金鑰資訊，破解該設備的密碼取得權限。

2.CVE-2020-3924：TAT-76和TAT-77系列DVR設備韌體的更新功能，未檢查韌體更新檔之合法性，攻擊者可注入指令來取得設備權限。

開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用此DVR 設備，TAT-76系列DVR更新版本至20191216；TAT-77系列DVR更新版本至20200213。

中華資安國際建議採取以下防範措施：

1.使用者：確認DVR韌體版本是否已經更新至修補後的版本。

2.硬體開發商：建議導入安全程式開發流程 (SSDLC)、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。

【參考資訊】