作者:知道创宇404实验室
时间:2018年7月24日
英文版:https://paper.seebug.org/654/
索尼是世界视听、电子游戏、通讯产品和信息技术等领域的先导者,是世界最早便携式数码产品的开创者,是世界最大的电子产品制造商之一。
2018 年 07 月 20 日,Sony IPELA E 系列网络摄像头被曝出存在远程命令执行漏洞, 网上已经公开了漏洞细节。该系列摄像头由于未对用户的输入进行过滤,而直接拼接成命令字符串并执行,攻击者可基于此执行任意命令,进一步完全接管摄像头,该漏洞被赋予编号 CVE-2018-3937。该漏洞的利用难度很低,通过原漏洞详情中的说明,2018 年 07 月 19 日,Sony 官方已发布该漏洞的补丁。 2018 年 07 月 24 日,Seebug 漏洞平台收录了该漏洞。知道创宇404实验室迅速跟进,复现了该漏洞。
通过ZoomEye网络空间搜索引擎对app:”SonyNetworkCamerahttpd” 关键字进行搜索,共得到 6,468 条 IP 历史记录。从本地验证的过程来看,该漏洞的利用难度很低。
受漏洞影响设备的国家分布如下,主要分布在美国、越南、德国等国家。
根据原漏洞详情的说明,Sony官方已经发布相关补丁修复了该漏洞,请及时根据对应摄像头型号下载安装新版固件。