HackerNews 编译，转载请注明出处： 网络安全研究人员警告，海康威视HikCentral软件中存在三个漏洞，该软件是广泛应用于视频监控、门禁控制和集成安全运营的集中管理平台。 这三个漏洞分别是： CVE-2025-39245（基础评分4.7）：部分HikCentral Master Lite版本存在CSV注入漏洞，攻击者可通过恶意CSV数据注入可执行命令。 CVE-2025-39246（基础评分5.3）：部分HikCentral FocSign版本存在未加引号的服务路径漏洞，已认证用户可能通过本地访问实现权限提升。 CVE-2025-39247（基础评分8.6）：部分HikCentral Professional版本存在访问控制漏洞，未认证用户可获取管理员权限。 其中，CVE-2025-39247被评定为高风险等级，它允许未经任何认证的用户完全接管HikCentral Professional系统。当攻击者甚至无需登录即可提升其权限时，他们实质上就掌控了整个环境。这为操纵配置、篡改日志甚至关闭关键监控功能开辟了直接路径。 HikCentral是许多组织安全基础设施的核心。公司依赖它来管理监控摄像头、控制建筑物出入并将来自多个设备的数据集成到一个统一的平台中。攻击者可以利用此权限提升漏洞接管这些功能。一旦攻击者提升了权限，他们就可以以管理员身份操作、安装恶意软件、创建隐藏账户或窃取敏感信息。想象一下这样的场景：攻击者在物理入侵期间关闭摄像头、解锁受限门禁或修改审计日志以隐藏证据。这种场景对受影响组织的安全和业务连续性构成了严重威胁。 受影响的版本及修复版本如下： 产品名称 CVE 编号 受影响版本 修复版本 HikCentral Master Lite CVE-2025-39245 V2.2.1 至 V2.3.2 V2.4.0 HikCentral FocSign CVE-2025-39246 V1.4.0 至 V2.2.0 V2.3.0 HikCentral Professional CVE-2025-39247 V2.3.1 至 V2.6.2 及 V3.0.0 V2.6.3/V3.0.1 运行这些版本的组织应将此披露视为一个警示。 就HikCentral而言，风险更高是因为攻击者甚至无需先进行身份验证。他们可以匿名访问系统，利用该漏洞，并立即获得提升的控制权。这种绕过行为削弱了对标准认证过程的所有信任。 厂商已发布修复指南，最好的应对措施是立即应用更新。HikCentral管理员应： 在应用更新的同时加固环境：限制系统的外部暴露。 检查其部署的版本号：如果版本处于受影响范围内，则需要关注。 下载并安装海康威视在其官方安全公告中提供的最新补丁。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 海康威视坚定维护加拿大市场存在，通过法律行动反击政府禁令。 此前海康威视接受《加拿大投资法》的国家安全审查，结论认定其对加拿大国家安全构成威胁。因此，加拿大联邦政府于6月27日命令该公司停止在加运营并关闭业务，同时禁止所有联邦机构、政府部门及国营企业采购海康威视产品。 海康威视提起法律诉讼推翻加方限制 海康威视加拿大公司发言人7月7日公开声明，确认将“全力挑战该禁令，捍卫我们认为正确的立场”。公司已向加拿大总检察长提交申请，要求启动政府决定的司法审查程序，并请求法院在审查完成前暂停执行禁令。 据发言人透露，在与总检察长达成协议后，海康威视加拿大公司已暂时恢复正常运营，等待法院对暂缓执行申请的裁决。发言人强调，海康威视“始终全力投入加拿大市场及当地合作伙伴”，并“承诺在寻求法律救济过程中，全面保护和支持加拿大员工、经销商、安装商、集成商及终端用户”。 声明补充：“自进入加拿大市场以来，我们始终遵守所有适用法律法规，并将继续坚持立场——海康威视的产品与技术从未危及加拿大或任何运营所在国的国家安全。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

据Bleeping Computer消息，安全研究人员发现超过八万台海康威视摄像机尚未更新固件，容易受到关键命令注入漏洞的影响。攻击者可将特定的消息发送至易受攻击的Web服务器，即可轻松利用该漏洞，并发起命令注入攻击。 2021年6月，网络安全研究机构Watchful IP首次发现了该漏洞，编号为CVE-2021-36260，同月，海康威视通过固件更新解决了这一问题。 但是，这并不意味着这一漏洞已经失去了效果。根据 CYFIRMA 发布的白皮书，全球100 个国家/地区的2300个正在使用受影响摄像机的组织，并未及时对固件进行安全更新，仍然处于被攻击者的威胁之中。 公开信息显示，CVE-2021-36260一共包含两个已知的公开漏洞，一个在2021 年 10 月发布，另一个在2022 年 2 月发布，因此所有技能水平的攻击者都可以轻松地搜索和利用易受攻击的摄像头。 截止到目前，安全研究人员已经观察到，大量有效载荷试图利用此漏洞来探测设备状态或从受害者那里提取敏感数据。更糟糕的是，一个名为Moobot的恶意僵尸网络正在试图大规模利用该漏洞，这很有可能会引起更严重的网络攻击和信息泄露。因为Moobot是一基于Mirai开发的僵尸网络家族，自从其出现就一直很活跃，并且拥有零日漏洞利用的能力。 为此，海康威视强烈督促用户及时更新固件，2022年年初，CISA也曾发布警告称，CVE-2021-36260 是当时发布的列表中被积极利用的漏洞之一，攻击者可以“控制”设备，要求组织立即修补漏洞。 极易遭受攻击和伤害 CYFIRMA表示，出售网络入口点最多的是讲俄语的黑客论坛，这些入口点其中一大部分依赖于那些可用于僵尸网络或横向移动的，存在漏洞的海康威视摄像机。 在俄罗斯论坛上出售的样品 (CYFIRMA) 安全研究人员对285000个面向互联网的海康威视Web服务器的样本进行分析之后，得出的结论是仍有超过8万个摄像机容易遭受网络攻击，并广泛分布于全球各个地方。其中数量分布最多的是中国和美国，此外还有越南、英国、乌克兰、泰国、南非、法国、荷兰和罗马尼亚等国家，未更新固件的摄像机均超过2000个。 易受攻击的海康威视摄像机 (CYFIRMA)的位置 虽然该漏洞的利用目前并未遵循特定模式，但是已经有不少攻击者参与其中。而用户想要避免被攻击者威胁，最好的办法就是立即更新固件，修复这一漏洞。倘若继续任由该漏洞存在，很有可能造成严重后果。 同时安全专家还进一步强调，用户应提升网络安全意识。除了上述命令注入漏洞外，研究员还发现很多时候用户图方便而将密码设置成“123456”等弱密码，或者是直接使用生产厂商的初始密码。 而这些日常的操作会让厂商的安全措施毁于一旦，哪怕是再好的安全产品，也无法彻底改变用户不安全的使用习惯。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342613.html 封面来源于网络，如有侵权请联系删除