2020-03-09 08:23
中華資安國際鑑識實驗室發現知名數位監控設備弱點
中華資安國際鑑識實驗室發現知名數位監控設備(DVR)之弱點(CVE-2020-3923、CVE-2020-3924),指出知名DVR設備弱點可被攻擊者利用取得控制權限。
【風險等級】重大威脅
【影響範圍】
1.通航TAT-76系列DVR 20191216前版本
2.通航TAT-77系列DVR 20200213前版本
【細節描述】
1.CVE-2020-3923:TAT-76和TAT-77系列DVR設備韌體未妥適處理密碼資訊,攻擊者可解析程式內的預設金鑰資訊,破解該設備的密碼取得權限。
2.CVE-2020-3924:TAT-76和TAT-77系列DVR設備韌體的更新功能,未檢查韌體更新檔之合法性,攻擊者可注入指令來取得設備權限。
開發廠商接獲通報後已配合儘速釋出相關更新,若機關或企業有使用此DVR 設備,TAT-76系列DVR更新版本至20191216;TAT-77系列DVR更新版本至20200213。
中華資安國際建議採取以下防範措施:
1.使用者:確認DVR韌體版本是否已經更新至修補後的版本。
2.硬體開發商:建議導入安全程式開發流程 (SSDLC)、事前進行安全程式碼開發教育訓練,並定期執行源碼檢測及滲透測試等安全檢測,才能有效地確保產品及用戶安全。
【參考資訊】