基于 Linux 的联想网络摄像头漏洞可被远程利用，引发 BadUSB 攻击

网络安全研究人员披露了联想部分型号网络摄像头的漏洞，这些漏洞可能使其成为 BadUSB 攻击设备。

Eclypsium 研究人员 Paul Asadoorian、Mickey Shkatov 和 Jesse Michael在与 The Hacker News 分享的一份报告中表示： “这使得远程攻击者可以秘密地注入击键并独立于主机操作系统发起攻击。”

该固件安全公司将这些漏洞的代号命名为“BadCam”。研究结果已于今日的 DEF CON 33 安全会议上公布。

此次进展很可能标志着人们首次证明，威胁行为者只要控制了已连接到计算机的基于 Linux 的 USB 外围设备，就可以将其武器化，用于恶意目的。

在假设的攻击场景中，对手可以利用该漏洞向受害者发送带有后门的网络摄像头，或者在能够确保物理访问的情况下将其连接到计算机，并远程发出命令来破坏计算机以进行后利用活动。

网络安全
BadUSB于十多年前由安全研究人员 Karsten Nohl 和 Jakob Lell 在 2014 年黑帽大会上首次展示，它是一种利用 USB 固件固有漏洞的攻击，本质上是对其进行重新编程以在受害者的计算机上秘密执行命令或运行恶意程序。

Ivanti 在上个月底发布的威胁解释中指出： “与驻留在文件系统中且通常可被杀毒工具检测到的传统恶意软件不同，BadUSB 驻留在固件层。一旦连接到计算机，BadUSB 设备就可以：模拟键盘输入恶意命令、安装后门或键盘记录器、重定向互联网流量，以及窃取敏感数据。”

近年来，谷歌旗下的 Mandiant 公司和美国联邦调查局 (FBI)警告称，被追踪为FIN7的以经济利益为目的的威胁组织已诉诸向美国组织“BadUSB”邮寄恶意 USB 设备来传播名为 DICELOADER 的恶意软件。


Eclypsium 的最新发现表明，基于 USB 的外围设备（例如运行 Linux 的网络摄像头）最初并非恶意行为，却可能成为 BadUSB 攻击的载体，这标志着攻击规模显著扩大。具体而言，研究人员发现，此类设备无需物理拔掉或更换，即可被远程劫持并转变为 BadUSB 设备。

研究人员解释说：“获得系统远程代码执行权限的攻击者可以重新刷新连接的 Linux 网络摄像头的固件，将其重新用作恶意 HID 或模拟其他 USB 设备。”

“一旦被武器化，看似无害的网络摄像头就可以注入击键、传递恶意负载或作为更深层次持久性的立足点，同时保持标准摄像头的外观和核心功能。”

此外，能够修改网络摄像头固件的威胁行为者可以实现更高程度的持久性，即使在清除数据并重新安装操作系统后，他们仍可以使用恶意软件重新感染受害计算机。

身份安全风险评估
联想 510 FHD 和联想 Performance FHD 网络摄像头中发现的漏洞与设备未验证固件有关，因此，如果它们运行支持 USB Gadget 的 Linux，则很容易通过 BadUSB 式攻击完全破坏摄像头软件。

继 2025 年 4 月向联想进行负责任的披露后，该 PC 制造商发布了固件更新（版本 4.8.0）以缓解漏洞，并与中国公司 SigmaStar 合作发布了一个可以解决该问题的工具。

Eclypsium 表示：“这种史无前例的攻击凸显了一个微妙但又非常严重的问题：企业和消费者计算机通常信任其内部和外部外围设备，即使这些外围设备能够运行自己的操作系统并接受远程指令。”

“在 Linux 网络摄像头的环境中，未签名或保护不力的固件允许攻击者不仅破坏主机，还可以破坏摄像头连接的任何未来主机，传播感染并规避传统控制。”