Sony IPELA E 系列網路攝像頭遠程命令執行漏洞預警

作者：知道創宇404實驗室

時間：2018年7月24日

1. 背 景

索尼[1]是世界視聽、電子遊戲、通訊產品和信息技術等領域的先導者，是世界最早攜帶型數碼產品的開創者，是世界最大的電子產品製造商之一。

2018 年 07 月 20 日，Sony IPELA E 系列網路攝像頭被曝出存在遠程命令執行漏洞， 網上已經公開了漏洞細節[2]。該系列攝像頭由於未對用戶的輸入進行過濾，而直接拼接成命令字元串並執行，攻擊者可基於此執行任意命令，進一步完全接管攝像頭，該漏洞被賦予編號 CVE-2018-3937。該漏洞的利用難度很低，通過原漏洞詳情中的說明，2018 年 07 月 19 日，Sony 官方已發布該漏洞的補丁。

2018 年 07 月 24 日，Seebug 漏洞平台[3]收錄了該漏洞。知道創宇404實驗室迅速跟進，復現了該漏洞。

漏 洞 影 響

通過ZoomEye網路空間搜索引擎[4]對app:」SonyNetworkCamerahttpd」 關鍵字進行搜索，共得到 6,468 條 IP 歷史記錄。從本地驗證的過程來看，該漏洞的利用難度很低。

受漏洞影響設備的國家分布如下，主要分布在美國、越南、德國等國家。

漏 洞 修 復

根據原漏洞詳情的說明，Sony官方已經發布相關補丁修復了該漏洞，請及時根據對應攝像頭型號下載安裝新版固件[5]。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！