研究人员：大华DVR与IP摄影机可被轻易攻陷，迫使大华紧急释出更新

中国制造商大华（Dahua）在本周修补了旗下11款数位录放影机（DVR）及IP摄影机的安全漏洞。发现相关漏洞的安全研究人员Bashis宣称只要几秒钟就能透过相关漏洞登入这些装置，且他还释出了概念性验证程式，迫使大华在隔天即释出固件更新。

Bashis表示，他不敢相信有这么容易破解的装置，因为大华把DVR与IP摄影机的配置存放在网络服务器上，任何知道这些装置IP地址的人都能直接下载配置档案，配置档中内含所有可存取该装置的账号资讯。

因此，要攻陷装置很简单，先从远端下载配置档之后，选择管理员权限的账号及杂凑密码，再于装置登入页面上直接贴上账号与密码就大功告成了。

Bashis相信这是大华故意留下的后门，而且他说自己的原则是先通知社群再通知制造商，因为他不想听到制造商的借口或试图叫他闭嘴之类的。

大华则说这是程式码的疏失，并不是故意的，也在隔天就释出了11款装置的固件更新，同时澄清这些装置并未遭到任何的恶意攻击。由于可能有更多的大华装置受到波及，预期大华近期会陆续更新其他装置的固件，资安业者则呼吁相关装置用户要尽速修补。

大华公布受影响的11款装置：