数百个品牌销售的IP摄像头 智能门铃和婴儿监视

  超过200万个物联网设备(可能更多)正在使用易受攻击的P2P固件组件,该组件允许黑客定位并接管受影响的系统。

  所有这些设备的共同之处在于它们使用iLnkP2P,这是一种固件组件,允许设备通过P2P(点对点)协议与供应商的服务器通信。

  根据Marrapese的说法,第一个“允许攻击者快速发现在线设备”,而第二个“允许攻击者拦截与设备的连接并执行中间人攻击”和“窃取密码到设备和控制它。“

  该研究人员表示,易受攻击组件的制造商 - 中国公司深圳云尼科技有限公司 - 没有回复电子邮件,通知公司有关这两个安全漏洞。

  尝试通过卡内基梅隆大学的CERT协调中心(CERT / CC)和中国国家计算机应急响应小组(CN-CERT)联系供应商也失败了。

  “我强烈建议任何人处理易受攻击的设备,但只有他们不能,他们应该阻止OUTBOUND流量到32100 / udp,”研究人员在一封电子邮件中告诉ZDNet。

  阻止UDP端口32100上的流量将阻止攻击者和僵尸网络远程利用这些漏洞,尽管设备仍然容易受到来自本地网络的攻击尝试,但研究人员认为这是一种更可接受的风险。

  由于有数百个设备品牌可能在其固件中使用iLnkP2P组件,因此在本周发布的研究人员网站上,他列出了设备所有者可以使用的两种方法,并查看他们的设备是否可能受到影响。