2021.5.28 • 农历4月17日 • 周五
这周的物联网圈子
有哪些值得关注的事情呢?
鲲鹏实验室带你回顾下
01
IoT智能设备漏洞
TP-LINK TL-WR840N存在弱口令漏洞
影响产品:
普联技术有限公司 TL-WR840N V3.13.13
漏洞类型:弱口令漏洞
TP-LINK TL-WR840N是一款无线路由器,信道数为13,支持VPN功能。
TP-LINK WR840N存在弱口令漏洞,攻击者可利用该漏洞获取敏感信息。
影响范围:
普联技术有限公司 TL-WR840N V3.13.13
Tenda G1 and G3缓冲区溢出漏洞
影响产品:Tenda G1、G3
漏洞类型:缓冲区溢出漏洞
Tenda G1 and G3是中国腾达(Tenda)公司的一个路由器。
Tenda G1 and G3路由器存在缓冲区溢出漏洞,攻击者可利用该漏洞通过精心制作的动作qosIndex请求执行任意代码。
影响范围:
Tenda G1 15.11.0.17(9502)_CN
Tenda G3 15.11.0.17(9502)_CN
Samsung WLAN AP命令执行漏洞
影响产品:Samsung WLAN AP
漏洞类型:命令执行漏洞
三星(中国)投资有限公司是三星集团在中国的总部。截至2008年底,三星旗下30多家公司中已有20家在中国投资,包括三星电子、三星SDI、三星SDS、三星电机等。
Samsung WLAN AP存在命令执行漏洞。攻击者可利用该漏洞获取服务器权限。
影响产品:
三星(中国)投资有限公司 Samsung WLAN AP
华为多款产品存在弱口令漏洞
影响产品:华为USG系列
漏洞类型:参数注入漏洞
华为技术有限公司是ICT(信息与通信)技术设施和智能终端提供商。
近日,华为多款产品被曝存在弱口令漏洞,攻击者可利用弱口令登录后台,获取敏感信息。
影响产品:
华为技术有限公司 USG2110-F V100R003C03SPC100
华为技术有限公司 USG2160BSR V100R003C01SPC009
华为技术有限公司 E200E-B V100R002C00SPC100
华为技术有限公司 USG2130 V100R003C01SPC100
华为技术有限公司 SRG1220 V100R002C01SPC100
华为技术有限公司 USG2110-F V100R003C03SPC200
华为技术有限公司 USG2120BSR V100R003C01SPC010
华为技术有限公司 USG2120BSR V100R003C01SPC100
02
其他热门漏洞
NO.1
VMware vCenter Server远程代码执行漏洞
漏洞编号:CVE-2021-21985
VMware vCenter Server是美国威睿(Vmware)公司的一套服务器和虚拟化管理软件。
由于vCenter Server默认启用的Virtual SAN Health Check缺少输入验证,攻击者通过443端口访问vSphere Client(HTML5),构造恶意的请求数据包,从而在操作系统上执行任意命令。
影响版本:
VMware vCenter Server=6.7(非6.7 U3n)
VMware vCenter Server=6.5(非6.5 U3p)
VMware vCenter Server=7.0(非7.0 U2b)
VMware Cloud Foundation 4.x < 4.2.1
VMware Cloud Foundation 3.x < 3.10.2.1
NO.2
SolarWinds Network Performance Monitor远程代码执行漏洞
漏洞编号:CVE-2021-31474
Solarwinds SolarWinds Network Performance Monitor(NPM)是美国SolarWinds(Solarwinds)公司的一款网络性能监视器,它为路由器、虚拟化环境和其他设备提供监控和报告、跟踪up/down状态、实时分析和网络性能统计等功能。
由于对用户提供的数据缺乏正确验证,攻击者可以通过构造恶意数据触发反序列化,从而在系统上下文中执行任意代码。
影响版本:
SolarWinds Network Performance Monitor=2020.2.1
NO.3
Cisco HyperFlex HX 命令注入漏洞
漏洞编号:
CVE-2021-1498
Cisco HyperFlex HX Data Platform是美国思科(Cisco)公司的一个网络设备。提供企业级的敏捷性,可扩展性,安全性和生命周期管理功能。
由于对用户的输入验证不足,攻击者可以通过向Web管理界面发送恶意请求触发该漏洞,从而以tomcat8用户身份执行任意命令。
影响版本:
HyperFlex HX <=4.0
HyperFlex HX =4.5
03
安全事件
01
Eufy摄像头漏洞可导致用户隐私泄露
本周,Eufy家庭安全摄像机的用户收到警告:由于内部服务器的一个漏洞,他们的家庭视频资料将可能会允许其他的陌生人查看。反过来说,受影响的用户也获得了对其他用户访问的权限。该漏洞发生在近日的一次服务器升级过程中,工作人员误将Eufy用户与来自世界各地的其他账户的视频流相连在了一起。根据研究公司Recorded Future在其The Record新闻频道上发布的一份报告,总部位于中国的Anker公司迅速修补了这一漏洞,然而,用户很快注意到了一个问题,这个漏洞一直持续存在了一整天,这使得许多正在运行的已建立服务器会话的用户被其他人监视。
0 留言