據Security affairs消息，大華攝像頭中的兩個漏洞PoC(概念驗證程序)已在網絡上泄露，漏洞編號為CVE-2021-33044 和 CVE-2021-33045，攻擊者可通過構建惡意數據包來繞過設備身份驗證。

多款型號受影響

雖然這些漏洞最早發現于2021年6月13日，但大華在9月初才發布安全公告，多款型號的大華產品受到了這一漏洞的影響，包括： IPC-X3XXX、HX5XXX、HUM7XX、VTO75X95X、VTO65XXX、VTH542XH、云臺球型攝像機SD1A1、SD22、SD49、SD50、SD52C、SD6AL、熱敏TPC-BF1241、TPC221-TBF2 -SD2221、TPC-BF5XXX、TPC-SD8X21、TPC-PT8X21B、NVR1XXX、NVR2XXX、NVR4XXX、NVR5XXX、NVR6XX。

[[427606]]

據bleepingcomputer在Shodan等搜索引擎進行搜索，全球范圍內至少有超過 120 萬臺大華設備可能存有風險。事實上，攻擊者完全可以通過相關搜索找到存有風險的大華設備并通過公布的 PoC 代碼將其破解。

為此，用戶必須盡快安裝最新的固件版本。

如何進行保護?

除了將受潛在威脅的大華攝像頭型號升級至最新的固件版本外，還應該更改設備初始密碼。即將諸如“admin”之類的默認密碼更改成較復雜且安全的密碼。

此外，如果是無線攝像頭，還應啟用 WPA2 加密，并盡可能為 IoT 設置一個單獨的隔離網絡。 如果設備已啟用云，可以從控制界面自動獲取修復升級。