亚信安全针对视频设备攻击的处置方案

视频设备攻击通告简介

根据国家网络与信息安全信息通报中心通报，近日有匿名黑客组织扬言将于2月13日对我国视频监控系统发动网络攻击，并声称已掌握我境内大量摄像头控制权限，涉及70余个IP地址，从境外社交应用推特上监控到如下ip可能被攻击.

http://1.29.227.105:60001/view2.html
http://175.150.43.88:60001/view2.html
http://123.9.46.152:60001/view2.html
http://112.247.49.93:60001/view2.html
http://42.229.95.22:60001/view2.html
http://101.69.88.245:60001/view2.html
http://116.138.49.189:60001/view2.html
http://42.177.77.131:60001/view2.html
http://116.95.59.188:60001/view2.html
http://110.7.168.23:60001/view2.html
http://42.229.205.204:60001/view2.html
http://175.170.114.132:60001/view2.html
http://112.236.76.173:60001/view2.html
http://182.112.201.232:60001/view2.html
http://113.239.219.179:60001/view2.html
http://101.25.100.207:60001/view2.html
http://119.119.59.252:60001/view2.html
http://1.26.62.184:60001/view2.html
http://101.25.100.207:60001/view2.html
http://119.119.59.252:60001/view2.html
http://1.26.62.184:60001/view2.html
http://42.59.187.182:60001/view2.html
http://175.148.44.120:60001/view2.html
http://60.6.89.196:60001/view2.html
http://119.115.86.94:60001/view2.html
http://123.128.121.22:60001/view2.html
http://42.53.38.239:60001/view2.html
http://60.4.26.26:60001/view2.html
http://119.115.248.29:60001/view2.html
http://175.23.110.219:60001/view2.html
http://221.214.131.159:60001/view2.html
http://122.157.147.154:60001/view2.html
http://27.209.39.180:60001/view2.html
http://42.6.246.67:60001/view2.html
http://110.228.66.153:60001/view2.html
http://119.52.128.47:60001/view2.html
http://175.23.51.216:60001/view2.html
http://221.205.129.96:60001/view2.html
http://113.3.2.190:60001/view2.html
http://113.228.45.18:60001/view2.html
http://175.148.109.134:60001/view2.html
http://39.76.133.75:60001/view2.html
http://27.210.179.165:60001/view2.html
http://113.224.175.233:60001/view2.html
http://113.3.49.213:60001/view2.html
http://112.236.76.173:60001/view2.html
http://110.7.168.203:60001/view2.html
http://42.229.205.204:60001/view2.html
http://116.95.59.188:60001/view2.html
http://120.6.207.119:60001/view2.html
http://1.26.69.75:60001/view2.html
http://124.161.144.80:60001/view2.html
http://119.114.54.162:60001/view2.html
http://123.190.169.144:60001/view2.html
http://101.31.248.75:60001/view2.html
http://123.233.137.250:60001/view2.html
http://123.4.245.144:60001/view2.html
http://101.31.248.75:60001/view2.html
http://123.233.137.250:60001/view2.html
http://123.4.245.144:60001/view2.html
http://42.85.162.89:60001/view2.html
http://39.88.167.95:60001/view2.html
http://113.228.248.247:60001/view2.html
http://123.4.211.180:60001/view2.html
http://221.202.178.195:60001/view2.html
http://113.231.41.247:60001/view2.html
http://60.217.191.31:60001/view2.html
http://119.49.216.13:60001/view2.html
http://101.16.171.123:60001/view2.html
http://139.211.94.152:60001/view2.html
http://27.193.20.207:60001/view2.html
http://101.29.236.19:60001/view2.html
http://42.233.116.89:60001/view2.html
http://119.50.113.80:60001/view2.html
http://42.180.39.124:60001/view2.html
http://121.25.234.142:60001/view2.html
http://101.21.89.45:60001/view2.html
http://1.25.156.72:60001/view2.html

作为物联网设备中的先驱，摄像头早在十几年前就已遍布全球，与我们的生活息息相关。无论是家中的视频聊天、安全摄像头，还是公共场合的身份识别、治安管理摄像头都无时无刻不在为人类提供各项服务。但这些摄像头在为人们提供便利的同时，也威胁着人们的安全。一直以来，由于很多摄像头本身以及使用部署方式存在安全漏洞，使得不少黑客都瞄准了这块“肥肉”，各类针对摄像头的攻击此起彼伏。

摄像头安全特点

分布广泛、数量众多、功能单一、成本低廉、安全问题层出不穷。很多摄像头厂商为了降低开发成本，会选择使用最常用、最便宜的底层固件，容易出现摄像头底层漏洞。摄像头配置通常不高，不太可能有专门的安全防护软件。此外，当厂商发了安全补丁，用户也很难第一时间获取更新资讯，摄像头也普遍缺乏自动更新机制，甚至不少用户根本就不知道如何更新摄像头固件。

摄像头漏洞和大规模攻击事件

2016年，美国东海岸断网事件就是一款 Mirai 的物联网设备的僵尸程序导致的。Mirai 的传播方式主要以摄像头设备的 Telnet 和 SSH 弱口令为为主。后来该病毒被不断修改，增加诸多变种，传播方式也增加多种 Nday 漏洞传播。 除此之外，近两年加密货币的发展盛行，也为利用摄像头设备传播挖矿病毒培育了土壤。
海康威视在18年4月被发现其云服务器存在严重的访问控制缺陷：只要获取用户ID就可以访问登录任意用户的账号。任意人都可通过该漏洞实现同步查看实时用户监控摄像和回放录像、添加账户共享、修改重置用户密码、修改用户绑定邮箱等操作，影响范围甚广。6月，Axis 摄像头被 ADOO 安全公司发现其设备的7个安全漏洞，攻击者可以利用这些漏洞以root权限执行任意命令。8月，Swann 摄像头被发现存在访问控制缺陷，该漏洞可以将一个摄像头的视频流切换到另一个摄像头上，攻击者可以利用该漏洞访问任意摄像头。9月，安全研究公司 Tenable 披露 NUUO 安防类网络摄像头中的“Peekaboo”漏洞，攻击者可以利用该漏洞查看监控录像或者更改画面和音频。该漏洞影响到了全球数十万台闭路电视、监控设备等。

从摄像头遭受的攻击并结合本次匿名攻击者扬言的信息来看，可能存在以下几个风险

旧有漏洞和弱口令攻击。目前攻击者控制物联网设备尤其是视频系统的方式，大多数是利用自动化扫描工具，扫描暴露在互联网上的视频设备端口，寻找可以利用的弱口令以及设备自身没有修复的漏洞等形式。
雷声大雨点小。匿名者的攻击通常以DDoS攻击方式为主，通过控制大量物联网设备，瘫痪关键信息基础设施，从而实现其宣扬的诉求，但其攻击行动往往是雷声大雨点小。

建议措施

1.视频设备资产排查

梳理存活的摄像头、视频设备、相关视频存储服务器，管理终端，梳理视频类设备、服务器、终端计算机、网络设备等在用设备安全状态，以便掌握潜在的安全漏洞，并且着重考虑视频网内资产风险关系。基于扫描的结果，各单位需要尽快对相关视频设备、系统整体、网络及相关主机进行加固。

2.现有视频设备安全加固

• 更新设备登录口令

视频系统运营责任单位应当第一时间对系统内账号进行登录口令更新，新口令需要符合密码复杂度要求。

• 更新固件修复漏洞
  通过系统更新、固件更新等方式对存量设备、系统、固件存在的漏洞进行修复。对于存在漏洞但无法修复的设备应当反馈、敦促厂商整改；如遇厂商停止维护、特殊设备等特殊情况，应视情况对设备做下线处理，并记录相关信息，反馈至相关责任部门推动进一步解决。

• 严格控制使用权限
  按最小权限原则管理系统账号，严格执行视频设备管理系统操作审计，对设备直接操作（包括物理接触、本地登录）加强管控、审计；

• 关停不必要的服务

检查视频设备上对互联网开放的服务。

3.视频设备所在环境加固

• 主机环境加固

安全人员需要对前端视频设备、服务器、数据库、web中间件、网络层设备进行脆弱性检测，协调厂商、运维人员对弱口令、安全漏洞风险（包括近期重点披露的平台高危漏洞）进行加固和修复，同时检查设备网络配置，关闭不必要的网络协议和端口，修改默认的管理端口。检查系统、组件、应用是否存在于事件相关漏洞，尽快完成风险评估和漏洞修复工作。按最小化原则检查账号授权和服务，并严格执行访问操作审计。有部署主机防护产品的，应与厂商确认产品是否具备事件相关检测、防护能力。

• 网络环境加固

各单位还需要通过多种手段梳理视频网络拓扑，排查直接暴露在互联网上的视频设备，并列入特殊管理清单，对其实行严格安全管理策略，增强相应安全防护措施。
针对此次可能到来的攻击事件，视频系统运营责任单位应当结合实际情况，针对性调整现IPS、防火墙等相关设备的安全策略，封堵漏洞利用的特定端口，阻止不法分子对漏洞的直接利用

4.加强视频设备检测预警

与相关安全厂商确认现有安全设备是否已具备针对摄像头攻击事件的检测能力。
检查相关分析设备如漏洞扫描、防火墙、流量分析、态势感知等的特征、规则、引擎是否更新至可检测事件的版本。对可编排类告警策略，如入侵检测、防火墙、态势感知等相关策略进行针对性配置。对流量日志进行排查，对涉及异常设备流量特征访问的相关日志进行溯源分析，封禁未授权访问特征端口的IP。

5.制定应急响应预案

视频系统运营责任单位应当在安全厂商攻防团队的协助下，编制相关的应急预案并建立应急处置流程，其中每个环节应该细化到责任人，并在事件发生第一时间严格执行。同时还应该利用专业的调查取证工具，在安全响应专家的协助下，快速分析威胁事件并给出解决方案。

6.同步安全规划

视频系统所有单位和系统供应单位应当针对视频系统进行长期安全规划，依照物联网、视频技术的发展、系统特性、建设程度进行全面的安全规划，切实保障安全三同步在关键信息基础设备建设中的落地与执行。
因此，为了应对日益增多的针对物联网设备的攻击，尽可能的缩短边缘威胁的感知、响应时间，应当重点考虑加强视频感知层边缘安全。如考虑在设备更换时采用新型号内置安全能力的摄像机、替换摄像杆接入交换机为具备安全能力的接入网关。

Reference