iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 14
2
Security

三十篇資安實例分享及解析系列 第 14

三十篇資安實例分享及解析DAY 14--京晨科技,國產監視器軟體漏洞,監視器恐有被駭風險

前幾天看到微軟的資安課程廣告,有句話讓我有點啼笑皆非…

『將由邪入正,先臥底當駭客….學會如何放大企業弱點,然後再殲滅他們(指企業弱點),改善防禦工具及對抗手法,讓正義得以伸張,企業安心成長。』

筆者想法是,企業的資安目前應該還沒有強大到殲滅所有弱點,就算改善防禦工具及對抗手法,企業也還沒辦法到零缺點,而且講句良心話,如果隨便去放大企業弱點,老闆可能會不高興,很快的可能先被老闆殲滅。

『知己知彼,百戰不殆;不知彼而知己,一勝一負;不知彼不知己,每戰必殆。

解釋:了解敵我情況,百戰都不會有危險;雖不了解敵人;但了解自己,勝負各半 ;敵我情況均不了解,每戰必敗。
孫子兵法《攻謀第三》』

(1)事件:京晨科技,國產監視器軟體漏洞,監視器恐有被駭風險(新聞來源:https://www.ithome.com.tw/news/125954 )
(2)被攻擊單位:京晨科技監視軟體(官方表示目前未有使用者受害)
(3)系統:NVRsolo, NVRsolo Plus and NVRmini 2 surveillance systems
(4)時間:2018年9月
(5)攻擊方式:官方表示目前產品未受攻擊

這篇新聞是筆者最近調閱公司監視器畫面時,突然想到這家上櫃公司(不是上市公司),上網查了一下新聞,果不其然有漏洞出現,以下連結是京晨科技在9/19所公布的四個更新及漏洞。

京晨科技官網公告:https://www.nuuo.com/NewsDetail.php?id=0425

引述其說明:It is confirmed that other NUUO product lines are NOT affected by the reported vulnerabilities. 京晨科技說明該公司產品目前並沒有因這四個漏洞而遭受影響。只是IThome的新聞,卻比官方新聞早一天發佈,那麼IThome所引用的Tenable揭漏時間是在9/17,比官方又早了兩天,那麼顯見這個漏洞應該至少有兩天處於可被攻擊的時間。

一般來說,只要上APP store或者android商店,就可以查到很多監視器軟體APP,有些監視器廠商裝好主機之後,會借用其他公司的APP跟監視器連線,然而監視器的主機裡面,卻沒有防火牆、掃毒軟體等防線跟措施,這樣無形之中,主機就暴露在危險的狀態底下。筆者也曾問過幾家公司負責管理監視器的MIS,大部分都不知道有這個問題,甚且也不知道到底監視器主機裡面如何設定。

舉這個例子也是呼應到本篇前言,正常狀況底下,這些監視器大部分是外包,如果不是監視器廠商主動通知,MIS對於這種外包的監視器,大部分都是後知後覺的,公司也不會去太在意這塊,但是引述IThome這篇新聞的一段話:

例如駭客能以靜止的畫面取代動態畫面,就像電影情節一樣。

以這個案例而言,企業對於監視器的角色,就是『不知彼不知己,每戰必殆。』,這樣要如何主動殲滅呢?

這樣來說,企業不就處於一直被挨打的局面嗎?

筆者也不覺得如此,至少企業要做到『不知彼而知己,一勝一負』的狀態,公司不可能全部了解所有資安,但是至少也要知道,主機有幾台,有沒有思考過會不會有漏洞出現,即使是外包,也要定期在外包商來維護時,詢問是否有需要更新? 這點就是知己之弱點,企業不可能殲滅任何漏洞,但至少要有意識,盡可能將漏洞防堵,這樣至少就有一勝可入袋了。


上一篇
三十篇資安實例分享及解析DAY 13--羽球球后戴資穎IG被駭,駭客詐騙募款
下一篇
三十篇資安實例分享及解析DAY 15--智樂堂『刀龍傳說』遭殭屍病毒攻擊
系列文
三十篇資安實例分享及解析30

尚未有邦友留言

立即登入留言