三星智能摄像头存在漏洞 可被黑获得 root 权限
安全人员在三星智能摄像头当中发现一个新的安全漏洞,攻击者借此可以获得 root 权限,并且远程运行命令。三星智能摄像头从本质上讲是一个 IP 摄像头,它允许用户从任何地点使用三星自家的服务连接并查看实时视频或记录事件,提供了无缝的婴儿或宠物监控、企业和家庭的安全监控。
exploitee.rs 网站公布了三星智能摄像头当中存在的一个漏洞,可以允许攻击者使用三星上次为智能摄像头修复漏洞而无意留下的一个 web 服务器,获得对设备的 root 访问权限。具体而言,三星试图通过去除本地 *** 接口,并迫使用户访问 SmartCloud 网站来修复设备的安全漏洞,但在同一时间,该公司还继续让服务器功能在本地运行。而事实证明,一个可能的漏洞使攻击者通过推送定制固件文件连接到这个 Web 界面。
该 IWATCH install.php 漏洞可以通过制定专门的文件名,然后存储在 PHP 系统调用 tar 命令加以利用。由于 Web 服务器作为 root 运行,文件名由用户提供,输入时没有安全处理,黑客可以内注入自己的命令来实现 root 远程命令执行。
目前,三星尚未出台新的漏洞补丁来修复智能摄像头存在的这个漏洞。
稿源:cnBet *** ;封面:cnBeta
“三星智能摄像头存在漏洞 可被黑获得 root 权限” 的相关文章
黑客演示入侵电影制片人 Mac 计算机 证明 macOS 无法主动抵御网络威胁
近日,两位安全研究人员成功入侵了亿万富翁兼电影制片人 Jeffrey Katzenberg 的 Mac 计算机,意味着 macOS 设备并不能自动抵御网络威胁。虽然没有提到特定的 macOS 设备型号,深谙社会工程的 SocialProof Security 首席执行官 Rachel Tobac 还...
Lapsus$ 再出手:泄漏 Globant 软件公司 70GB 数据
就在英国警方逮捕了 7 名嫌疑犯之后,近期非常猖獗的黑客组织 Lapsus$ 又有了新动作。在攻击微软、三星、NVIDIA 和 Okta 等公司之后,该组织再次宣布成功攻陷 Globant,后者是一家位于卢森堡的软件开发咨询公司。 在周三宣布自己“度假归来”之后,该组织在其 Telegram 频道...
美及欧洲执法机构联盟查封了黑客网站 RaidForums.com
一个由多个全球执法机构组成的联盟–包括FBI、特勤局、英国国家犯罪署、欧洲刑警组织和其他机构–最近领导了一次行动,以查封RaidForums拥有的网络域名。RaidForums.com通常被描述为世界上最大的黑客论坛之一,它承载着一个留言板系统,恶意方可以在这里购买、出售和交易来自重大漏洞的黑客和...
技术专家与黑客展开竞赛 以确保电动汽车网络电网的安全
电动汽车(EV)革命来了。在过去的十年里,插电式混合动力电动车已经从16000辆增长到超过200万辆,汽车高管们预计到2030年,超过50%的美国汽车将是全电动的。不难看出,专家们为何做出如此乐观的预测。除了不断增长的电动汽车车队,今年早些时候签署的美国国会两党基础设施协议将包括75亿美元,以帮助规...
谷歌修复了积极利用的 Android 内核漏洞
近期谷歌发布了Android的5月安全补丁的第二部分,其中包括对积极利用的Linux内核漏洞的修复。该漏洞编号为CVE-2021-22600,是Linux内核中的一个权限提升漏洞,威胁者可以通过本地访问来利用该漏洞。由于Android使用修改后的Linux内核,因此该漏洞也会影响操作系统。 谷歌的...
攻击者部署后门,窃取 Exchange 电子邮件
网络安全研究人员将该 APT 组织追踪为 UNC3524,并强调在某些情况下,该组织可以对受害者环境进行超过 18 个月的访问,展示了其 “先进 “的隐匿能力。 在每一个 UNC3524 受害者环境中,攻击者都会针对一个子集的邮箱,集中其注意力在执行团队和从事企业发展、兼并和收购的员工或 IT 安...
评论列表
发表评论
