导语:2017年9月25日,一位昵称为“LiquidWorm”发布了一段关于FLIR热感摄像头的exp代码。
2017年9月25日,一位昵称为“LiquidWorm”发布了一段关于FLIR热感摄像头的exp代码。他发现FLIR摄像头系统中存在硬编码的ssh登录凭证,终端用户无法看到这些登录凭证,所以也就无法删除或者更改这些信息。
关于FLIR公司
美国菲力尔公司(FLIR Systems, Inc.)创立于1978年,是研发高性能、低成本机载应用红外热成像系统方面的先驱企业。 热成像系统可以检测到所有人员、事物散发出来的红外热能。 借助于红外热像仪,操作人员可以在完全漆黑的环境、恶劣的天气条件下进行观察,并能够穿透烟雾和阴霾等空气污染物看清一切。依托强大的热成像系统、可见光成像系统、定位系统、测量与诊断系统,以及先进的威胁检测系统,FLIR将创新型感应解决方案融入人们的日常生活中。
什么类型的exp呢?
这里的exp可以理解成我们通常所说的“后门”,因为任何人(包括恶意的或者善意的)都可以利用这个exp访问摄像头系统,甚至还可以下载其中的代码。
受影响的版本
软件版本为10.0.2.43的F/FC/PT/D型号摄像头 固件版本为8.0.0.64的1.4.1, 1.4, 1.3.4 GA, 1.3.3 GA和1.3.2
据安全研究员介绍,终端用户是无法自行移除这些硬编码的ssh登录凭证,只能等待厂商移除。