国产监视器软件有漏洞！数十万台监视器恐有遭骇客控制的高风险

资安业者Tenable于周一（9/17）揭露，台湾监视器解决方案暨装置制造商京晨科技（NUUO）所生产的网络监控主机NVRMini2（NVR+NAS）含有两个安全漏洞，其中一个将允许骇客执行远端程式并掌控装置，由于还有其他第三方装置制造商也使用京晨所打造的软件，估计受害装置可能高达数十万台。

研究人员在NUUO软件中所发现的两个漏洞分别是CVE-2018-1149与CVE-2018-1150，前者属于堆叠缓冲区溢位漏洞，允许骇客执行远端程式攻击，被列为重大风险的安全漏洞，后者则是个后门漏洞。

Tenable把CVE-2018-1149漏洞命名为Peekaboo，一旦被攻陷，骇客就能存取NVRMini2装置的控制管理系统，检视所有连结该装置的监视器凭证，还能切断监视器的连线，或是窜改监视器画面，例如骇客能以静止的画面取代动态画面，就像电影情节一样。

而CVE-2018-1150则为后门漏洞，只要输入特定的档案名称就可列出系统上所有使用者的账号，而且允许某人变更任何账号的密码，因此，它将允许骇客裣视所有监视器的内容，查看闭录电视的纪录，或是将某个监视器移出系统等，属于中度风险漏洞。

研究人员认为CVE-2018-1150是个奇怪的漏洞，不确定是在开发时忘了移除程式码，或者是恶意加入的。

京晨科技为台湾的上市公司，也是监视器产业的知名业者，其装置或软件广泛被应用在银行、医院、学校或购物中心等地，当中的NVRMini2最多可管理16个连网监视器，也将软件授权给全球逾100个品牌及2,500种型号的监视器，使得Tenable估计全球可能有数十万监视器含有安全风险。

Tenable表示，京晨已在开发修补程式，只是迄今尚未释出，受影响的使用者可直接联系京晨，或是暂时限制相关装置的存取权限。