云安全日报200904：友讯(D-Link)云计算摄影机发现重要漏洞，需要

随着科学技术的发展,互联网正以飞快的速度进入千家万户。对于许多人来说，都希望通过安装“智能”摄像头，来提高家庭或办公室的安全性。一旦这些设备直接连接到互联网，只需点击几下，用户就可以轻松查看他们的监控视频流。然而，如果摄像头受到安全漏洞的影响，那么这种“便利性”将很快变成薄弱点，会给未经授权的攻击者打开大门。根据友讯(D-Link)官方安全公告显示，友讯网络摄影机爆出重要漏洞。以下是漏洞详情：

漏洞详情

来源：

https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10180

1.CVE-2020-25079

D-Link DCS-2530L和DCS-2670L都是友讯公司超广角（180度）云端无线摄影机。不过根据安全研究人员上报，D-Link DCS-2530L 1.06.01 Hotfix之前版本和DCS-2670L 2.02版本及之前版本上存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中，网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令,或允许攻击者拦截并查看视频流，甚至还允许攻击者操纵设备的固件等。

2.CVE-2020-25078

D-Link DCS-2530L 1.06.01 Hotfix之前版本和DCS-2670L 2.02版本及之前版本中存在安全漏洞。该漏洞会导致远程管理员密码泄露，从而授予潜在攻击者对设备的完全访问控制权限，从而用户隐私完全暴露在攻击者面前。

受影响产品

友讯官方已确认D-Link DCS-2530L v1.05.05及更早版本存在安全漏洞。

对于上报的DCS-2670L v2.02及更早版本存在安全漏洞，目前友讯官方还在调查中。

解决方案

对于D-Link DCS-2530L v1.05.05及更早版本的用户，官方已经发布了修复程序，升级v1.06.01可修复。

对于DCS-2670L v2.02及更早版本的用户，目前官方还处于调查中，建议用户关注官方动态，及时更新设备固件，提高安全性。

缓解建议：

1.用户及时更改默认账户名和密码，不要使用弱口令密码。

2.及时升级最新固件。

3.能不联网就不联网，如果必须联网，建议设置为不常用的接入端口，避免使用81、82、8080等常被攻击的端口。

4.建议摄像头不要正对卧室、浴室等敏感、隐私区域，当发现摄影像头角度无端移动时往往意味着设备可能已经被恶意破解或利用。

5.设备厂商要关注安全开发，并进行安全测试，充分考虑黑客的攻击场景，并规避潜在的产品配置和代码漏洞。

查看更多漏洞信息 以及升级请访问官网：

https://supportannouncement.us.dlink.com/announcement/