印度监控摄像头存在严重漏洞，攻击者可窃取视频与账户凭证

HackerNews 编译，转载请注明出处： 多个印度监控摄像头制造商的产品中被发现存在一个严重的安全漏洞。该漏洞可能允许攻击者无需身份验证即可访问视频流并窃取账户凭证。 美国网络安全和基础设施安全局（CISA）于2025年12月9日发布了警报，警报代码为ICSA-25-343-03。 该漏洞影响范围包括来自D-Link印度有限公司、Sparsh Securitech和Securus CCTV等厂商的设备。 漏洞详情 该漏洞被归类为“关键功能缺少身份验证”（CWE-306），已分配编号 CVE-2025-13607，其CVSS v4评分为9.3分（严重等级）。 下表概括了该漏洞的关键信息： 项目 详情 CVE编号 CVE-2025-13607 CVSS v4 评分 9.3（严重） CVSS v3 评分 9.4（严重） 漏洞类型 关键功能缺少身份验证 CWE编号 CWE-306 攻击向量 网络 该漏洞使远程攻击者能够在无需身份验证的情况下，利用一个脆弱的URL端点，从而未经授权访问敏感的摄像头配置数据，包括管理账户凭证。 已确认受影响的设备为D-Link DCS-F5614-L1摄像头型号，其固件版本为v1.03.038及更早版本。 尽管Sparsh Securitech和Securus CCTV的具体受影响型号尚未明确，但使用这些厂商摄像头的组织面临相似的风险。 攻击向量与风险 此漏洞构成了严重威胁，因为它易于通过网络访问且攻击复杂度低。恶意攻击者无需特殊权限或用户交互即可利用此漏洞，使得远程攻击者可以轻而易举地执行攻击。 成功的利用将导致信息泄露，包括摄像头账户凭证的获取，可能危及监控基础设施并使得未授权系统访问成为可能。 厂商回应与建议措施 D-Link：已为受影响设备发布了安全更新并发布了安全公告。厂商强烈敦促立即安装补丁，并强调通过比对设备界面上的固件版本来验证更新是否成功。 Sparsh Securitech 与 Securus CCTV：CISA报告称，这些厂商未回应协调请求。因此，相关组织应直接联系厂商技术支持，以确定哪些型号受影响并获取修复指导。 CISA推荐了关键的防御措施，包括： 最小化网络暴露：将摄像头与互联网隔离。 加强访问控制：将摄像头置于防火墙之后进行访问限制，并对必需的远程访问实施VPN解决方案。 进行评估：在部署防御措施前，组织应进行影响分析。 目前，CISA尚未收到该漏洞在公开领域被主动利用的报告。但由于该漏洞严重且易于利用，受影响的监控系统需要立即进行修补和安全加固，以保护印度各地的企业和关键基础设施。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文