物联安全·鲲鹏先知【第29期】

2021.7.16 • 农历6月7日 • 周五

这周的物联网圈子

有哪些值得关注的事情呢？

鲲鹏实验室带你回顾下

01

IoT智能设备漏洞

锐捷EG易网关存在文件上传漏洞

影响产品：锐捷EG易网关

漏洞类型：通用型漏洞

锐捷网络股份有限公司是一家拥有包括交换机、路由器、软件、安全防火墙、无线产品、存储等全系列的网络设备产品线及解决方案的专业化网络厂商。

锐捷EG易网关存在文件上传漏洞，攻击者可利用该漏洞获取服务器控制权。

影响范围：

锐捷EG易网关 2016.10.08.14

同聚成TGS-AGW网关存在弱口令漏洞

影响产品：广州同聚成TGS-AGW网关

漏洞类型：逻辑缺陷漏洞

广州同聚成电子科技有限公司是一家专注于拥有自主知识产权的“TGS-AGW”系列安全网关产品，性能稳定，功能强大，通过公共信息网络安全权威认证；产品还包括WIFI无线产品、交换网络产品、网络安全产品等。

TGS-AGW网关存在弱口令漏洞，攻击者可利用该漏洞获取敏感信息。

影响范围：TGS-AGW1800

Finetree 5MP Network Camera存在逻辑缺陷漏洞

影响产品：

Finetree 5MP Network Camera

漏洞类型：通用型漏洞

5MP Network Camera是一款摄像机产品。

Finetree 5MP Network Camera存在逻辑缺陷漏洞，攻击者可利用该漏洞获取敏感信息。

影响产品：

Finetree 5MP Network Camera

Lexmark T640存在未授权访问漏洞

影响产品：Lexmark Lexmark T640

漏洞类型：通用型漏洞

Lexmark T640是一款打印机产品。

Lexmark T640存在未授权漏洞。攻击者可利用该漏洞获取敏感信息。

影响产品：

Axis AXIS 212 PTZ Network Camera

02

其他热门漏洞

NO.1

飞利浦 Vue PACS 安全配置漏洞

漏洞编号：CVE-2021-33018

飞利浦 Vue PACS 医学成像系统 。

由于该平台使用的加密算法存在安全隐患，攻击者可以针对加密算法的漏洞对平台发起攻击。成功利用这些漏洞可能允许未经授权的网络攻击者或进程窃听、查看或修改数据、获得系统访问权限、执行代码、安装未经授权的软件，或影响系统数据完整性，从而对机密性、完整性产生负面影响或影响系统的可用性。

影响版本：

Philips Vue PACS 12.2.x.x

Philips Vue MyVue 12.2.x.x

Philips Vue Speech 12.2.x.x

Philips Vue Motion 12.2.1.5

NO.2

Windows DNS Server 远程代码执行漏洞

漏洞编号：CVE-2021-34494

DNS（Domain Name Server，域名服务器）是进行域名(domain name)和与之相对应的IP地址 (IP address)转换的服务器。

攻击者可利用DNS Server开放的特性向目标主机发送特制的恶意请求，从而实现在目标主机上执行任意代码，获得目标主机控制权限。

影响版本：

Windows Server 2004

Windows Server 2008

Windows Server 2012

Windows Server 2012 R2

Windows Server 2016

Windows Server 2019

Windows Server version 20H2

NO.3

SolarWinds Serv-U远程代码执行漏洞

漏洞编号：CVE-2021-35211

Serv-U FTP Server，是一种被广泛运用的FTP服务器端软件，支持3x/9x/ME/NT/2K等全Windows系列。

成功利用该漏洞会导致Serv-U产品抛出异常，然后用攻击者的代码覆盖异常处理程序，导致远程代码执行，包括安装恶意程序以及查看、更改、或删除敏感数据。（如果环境中未启用SSH，则该漏洞不存在）。

影响版本：

SolarWinds Serv-U Managed File Transfer 和 Serv-U Secure FTP 所有版本

NO.4

FLIR-AX8 任意文件下载漏洞

漏洞编号：CNVD-2021-39018

FLIR-AX8是一款连续状态和安全监控用红外热像仪设备。

FLIR-AX8存在任意文件下载漏洞。攻击者可利用漏洞下载相关系统配置文件。

影响版本：

FLIR AX8 71213294

FLIR AX8 71219303

03

安全事件

01

Guess 遭受勒索软件攻击后出现数据泄露事件

流行的时尚和零售商Guess,在2月遭受网络犯罪组织DarkSide的勒索软件攻击，发生数据泄露，据悉，该公司客户的护照号码、金融账户号码、驾驶执照号码，甚至社会安全号码都被盗。据该公司称，大约有200GB的数据受到影响。