某P2P软件存在关键漏洞,物联网设备易受远程入侵

据外媒报道,一个P2P通信软件组件iLnkP2P中存在严重的安全漏洞,黑客可劫持并访问近200万台物联网设备,并远程控制它们。

由某公司开发的P2P软件组件iLnkP2P,被部署在数百万个物联网设备上。iLnkP2P用于安全摄像头和网络摄像头、婴儿监视器、智能门铃和数字录像机中,攻击者可利用漏洞进行窃听、窃取密码、远程入侵。

发现该漏洞的研究人员Paul Marrapese表示,该漏洞影响了全球200万台物联网设备,这些设备包括HiChip、TENVIS、SV3C、VStarcam、Wanscam、NEO Coolcam、Sricam、Eye Sight和HVCAM等。

由于iLnkP2P用于多个品牌的物联网设备,这使得识别易受攻击的设备变得困难,但是特定序列号(UID)可以用来识别这些脆弱的设备。 

研究人员表示,每个ID开头都有一个独特的字母前缀,用来标识生产该设备的制造商,许多公司都给包含iLnkP2P软件的设备贴上了白色标签。

包含以下前缀的设备都是脆弱的。


据称,易受攻击的物联网产品有39%在中国,19%在欧洲,7%在美国。研究人员通知了部分设备供应商,但是暂时没有得到回复。


CVE-2019-11219是iLnkP2P的枚举漏洞,允许攻击者快速发现在线设备。

CVE-2019-11220指iLnkP2P的认证漏洞,允许攻击者拦截设备的连接,执行中间人攻击并远程控制设备。

发表评论 取消回复

电子邮件地址不会被公开。 必填项已用*标注