另一个云配置滑倒
Guardzilla的基于IOT的家庭视频监视系统中的漏洞意味着用户能够互相监视。
安全研究人员发现,同一设备的所有模型都共享相同的Amazon S3凭据来存储保存的视频数据。由于这种设计,瓜齐拉(Guardzilla)多合一视频安全系统的所有用户(专为室内视频监视而设计)都可以访问彼此保存的家庭视频数据。
不好。
在研究人员检查了GUADZILLA技术的GZ501W模型的固件后,这一缺陷显而易见。正如研究人员的咨询所解释的那样,剥削将很简单。
嵌入式S3凭据无限制地访问该帐户的所有S3存储桶。这是通过对设备对固件运输的静态分析确定的。提取固件并破解了根密码“ GMANCIPC”后,就恢复了Amazon S3访问密钥。
安全性SNAFU在0dayallday的研究人员中发现了安全性SNAFU,他与协调的披露他们在星期四(12月27日)通过Rapid7的发现。仅测试了GZ501W模型。尚不清楚其他模型是否也受到影响。
除了共享凭据滑倒外,研究人员还发现,该设备以过时的版本OpenSSL(版本1.0.1g)发货。最后,网络和二进制分析揭示了“一些异常的连接和外国IP地址的提及,发现未记录的开放端口TCP/23”。这种奇怪的行为可能指向设备上的后门,但这仍然未经证实。
所有设备问题上的主要共享凭证是CWE-798的一个示例:使用硬编码的凭据 - 一种易懂的安全风险。
每日swbeplay2018官网ig已与Guardzilla联系以进行评论。
