网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

为了可以随时远程监控家中和工厂情况，用户经常将摄像头连接上网，但他们往往忘记修改默认密码，而各个品牌摄像头的默认密码在网上已经随手可得。

2016年10月美国DNS域名服务器供应商Dyn遭到了大规模DDoS攻击，从而导致许多网站在美国东海岸地区宕机，事件发生后，全球安全研究专家对此次事件进行了追踪、分析、溯源和响应处置，发现其主要根源之一正是分布于世界各地的安保摄像头。

2017年3月，大华科技针对旗下很多产品推送了固件升级补丁，推出固件的补丁被爆存在后门，利用该后门，就能远程访问摄像头产品中的用户密码哈希的数据库。攻击者可以获取到数据库中身份凭证信息，进而登录设备，最终导致设备被黑客完全控制

事实上，在互联网中，摄像头不会被视为特定设备，相反，它们被认为是完整的计算机，可能运行有最新的Windows或者Linux软件，拥有丰富的内存与强大的供电电源，同时也接入快速互联网链接。黑客正是利用这样的认知不对称性实现设备控制，并最终致使互联网陷入崩溃。

根据谛听网络空间工控设备搜索引擎搜集到的大华Dvr和海康威视摄像头的数据，发现暴露在Internet上的安保摄像头中有70%以上使用默认密码，使用默认密码的安保摄像头中50%左右用来监控工业控制系统相关设备厂房，如图5-1所示是“谛听”网络空间工控设备搜索引擎搜集到的中国某些省市使用安保摄像头的情景截图，从这些图中可以清晰地看到厂房监控设备和工业生产过程。

（a）

（b）

（c）

（d）

（e）

（f）

图5-1 使用默认密码的摄像头中监控工业生产设备截图

2017年3月7日，杭州安恒信息安全研究院WEBIN实验室高级安全研究员NikeZheng发现著名J2EE框架——Struts2存在远程代码执行的严重漏洞（漏洞编号S2-045），国家信息安全漏洞共享平台（CNVD）第一时间收录（CNVD-2017-02474，对应CVE-2017-5638）。在随后的短时间内，Struts2再曝远程代码执行漏洞（漏洞编号S2-046，CNVD-2017-02880，CVE-2017-5638）。目前，Struts2官方已确认漏洞，并定级为高危漏洞。

编号为S2-045的漏洞，是基于Jakarta plugin插件的Struts远程代码执行漏洞，攻击者可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞，进而控制系统。编号为S2-046的漏洞则是攻击者可通过Content-Length或者Content-Disposition构造恶意的OGNL内容，同样会造成远程代码执行。

Struts2是一个基于MVC设计模式的Web应用框架，它本质上相当于一个servlet，在MVC设计模式中，Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts2是Struts的下一代产品，是在Struts1和WebWork的技术基础上进行了合并的全新的Struts 2框架。Struts2 的使用范围及其广泛，国内外均有大量厂商使用该框架。远程攻击者可以利用该漏洞直接取得网站服务器控制权。