【安全资讯】CVE-2024-8956 (CVSS 9.1): PTZOptics摄像机远程攻击漏洞曝光
概要:
近日,CVE-2024-8956安全漏洞被披露,给某些PTZOptics摄像机用户带来重大风险。该漏洞被评为CVSS 9.1,远程攻击者可通过该漏洞未授权获取敏感数据并更改设备配置,是近期报告的最严重的网络音视频设备问题之一。主要内容:
CVE-2024-8956的根本原因是认证机制不足。受影响设备未能对没有包含HTTP授权头的/cgi-bin/param.cgi端点请求强制执行适当的认证。这一漏洞允许远程攻击者在无需任何认证的情况下,检索到包括用户名、密码哈希值及配置详情等敏感数据。更糟糕的是,攻击者不仅可以查看敏感数据,还能够更改配置值或覆盖整个配置文件。实际上,这可能导致摄像机控制被劫持、安全设置被修改,以及设备被用于进一步的网络攻击。这一漏洞由GreyNoise的Konstantin Lazarev发现,影响了PTZOptics的多个摄像机型号,包括PT30X-SDI(6.3.40版本之前)和PT30X-NDI-xx-G2(6.3.40版本之前)。使用ValueHD Corporation PTZ摄像机固件的其他AV设备,通常以白标形式销售,也存在该漏洞。
好消息是,PTZOptics已经发布固件更新来修补此漏洞。6.3.40版本固件修复了这一问题,受影响模型应尽快应用固件更新,以确保设备免受攻击。
相关链接
https://securityonline.info/cve-2024-8956-cvss-9-1-ptzoptics-cameras-vulnerable-to-remote-attacks/
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享