中華資安國際數位鑑識暨資安檢測中心發現知名 DVR 設備存在命令注入等弱點

中華資安國際數位鑑識暨資安檢測中心發現國內、國際知名品牌的 DVR 影像錄影主機具有任意讀取、寫入的漏洞 (CVE-2020-10513)、命令注入漏洞 (CVE-2020-10514)，影響範圍至少國內數十萬台設備。

【風險等級】高風險

【影響範圍】2020年2 月(含)之前的韌體版本

【細節描述】

• CVE-2020-10513： 攻擊者在具有設備管理密碼的情況下 (我們發現多數設備可能未更改密碼或是使用了經銷商更改的一組固定密碼)，攻擊者可以任意讀取、修改設備上的檔案，輕則造成設備阻斷服務 (DoS)，嚴重甚至能夠透過系統設定執行惡意命令。
• CVE-2020-10514：攻擊者可以透過修改設備上服務提供的 API 參數注入任意的命令，攻擊者能夠在受害設備上執行任意命令、程式。

開發廠商接獲通報號已經配合盡速釋出相關更新，若使用者、機關或企業有使用該廠牌的設備，建議盡 速更新韌體至最新版本。

【建議】

中華資安國際建議採取以下防範措施：

1. 使用者：聯絡經銷商或是自行更新韌體到最新版本。
2. 設備開發商：建議導入安全程式開發流程 (SSDLC)、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。

【參考資料】

NIST: https://cve.mitre.org/cgi-bin/cvename.cgi?name=2020-10513

NIST: https://cve.mitre.org/cgi-bin/cvename.cgi?name=2020-10514 

TWCERT: https://www.twcert.org.tw/tw/cp-132-3533-10afe-1.html

TWCERT: https://www.twcert.org.tw/tw/cp-132-3534-fc7f5-1.html