关键词

安全漏洞

技术人员近日在LG Innotek公司生产的LNV5110R型号监控摄像头中发现了一个重大安全漏洞,该漏洞可能让网络犯罪分子完全控制受影响的设备。

美国网络安全和基础设施安全局(CISA)于2025年7月24日发布安全公告,警告这一可被远程利用的安全缺陷影响了全球范围内该型号摄像头的所有版本。

CVE-2025-7742认证绕过漏洞 该漏洞被命名为CVE-2025-7742,属于通过备用路径或通道实现认证绕过的安全缺陷(CWE-288)。安全研究员Souvik Kandar发现,攻击者可通过向设备的非易失性存储器上传特制的HTTP POST请求来利用此漏洞。

该认证缺陷使攻击者能够绕过常规安全管控,以管理员权限执行任意命令。该漏洞获得了CVSS v3.1基础评分7.0分(向量字符串为AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:L),显示其具有较高的网络可访问性但攻击复杂度较高。而在更新的CVSS v4.0评分系统中,该漏洞获得了更为严重的8.3分基础评分(向量为AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:L/VA:L/SC:N/SI:N/SA:N),突显了其对视机密性的重大风险。

攻击者成功利用此漏洞可实施远程代码执行(RCE),在目标设备上以管理员权限运行任意命令。这种级别的访问权限可能让网络犯罪分子操控监控画面、获取敏感监控数据,或将受感染设备作为跳板发起更广泛的网络攻击。

该漏洞的网络可访问特性意味着攻击者无需物理接触设备,理论上可通过互联网实施远程攻击。不过CISA指出,该漏洞具有较高的攻击复杂度,目前尚未发现针对此漏洞的公开攻击案例。

关键影响

  • 远程代码执行能力

  • 可获取最高管理权限

  • 潜在监控数据泄露风险

  • 可能成为网络入侵跳板

停产产品 安全更新无望 LG Innotek已确认LNV5110R型号为停产产品,将不会提供安全补丁。

CISA建议用户立即采取隔离措施,将设备与互联网断开连接,并通过防火墙实施网络分段。该机构推荐采用纵深防御策略,使用虚拟专用网络(VPN)进行远程访问,并确保控制系统网络与企业业务网络物理隔离。

安全专家特别提醒,商业设施和关键基础设施领域的用户更需提高警惕,因为这些场所普遍部署了此类监控设备。在部署防护措施前,机构应进行充分的影响分析和风险评估。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!