霍尼韦尔关键基础设施闭路电视监控系统存在身份验证绕过漏洞
美国网络安全和基础设施安全局 (CISA) 警告称,多款霍尼韦尔闭路电视产品存在严重漏洞,可导致未经授权的访问或账户劫持。
美国网络安全和基础设施安全局 (CISA) 警告称,多款霍尼韦尔闭路电视产品存在严重漏洞,可导致未经授权的访问或账户劫持。
该安全问题由研究员 Souvik Kanda 发现,编号为 CVE-2026-1670,被归类为“关键功能缺少身份验证”,严重性评分为 9.8。
该漏洞允许未经身份验证的攻击者更改与设备帐户关联的恢复电子邮件地址,从而实现帐户接管和对摄像头视频流的未经授权访问。
CISA 表示: ”受影响的产品存在未经身份验证的 API 端点暴露漏洞,攻击者可能借此远程更改’忘记密码‘恢复电子邮件地址。“
根据安全公告,CVE-2026-1670 影响以下型号:
- I-HIB2PI-UL 2MP IP 6.1.22.1216
- SMB NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0
- PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0
- 25M IPC WDR_2MP_32M_PTZ_v2.0
霍尼韦尔是全球领先的安防和视频监控设备供应商,其产品涵盖各种闭路电视摄像机型号及相关产品,广泛应用于全球商业、工业和关键基础设施领域。
该公司提供许多符合 NDAA 标准的摄像机,适合在美国政府机构和联邦承包商中部署。
CISA 咨询文件中提到的特定型号系列是中端视频监控产品,适用于中小型企业、办公室和仓库,其中一些可能是关键设施的一部分。
CISA 表示,截至 2 月 17 日,尚未有报告显示有人专门针对此漏洞进行公开利用。
尽管如此,该机构建议尽量减少控制系统设备的网络暴露,将其隔离在防火墙后,并在需要远程连接时使用安全的远程访问方法,例如更新的 VPN 解决方案。
霍尼韦尔尚未发布关于 CVE-2026-1670 的公告,但建议用户联系该公司的支持团队以获取补丁指导。
关于作者
评论1次
结论: 该漏洞源于API端点缺乏身份验证,攻击面直接暴露在未授权访问路径中。攻击者可通过调用特定API修改恢复邮箱(Sink点),最终实现账户劫持和视频流控制(Source点未充分校验请求合法性)。需优先隔离设备网络暴露面并强制更新补丁。 --- ### **L1 攻击面识别** **关键组件**: - 受影响型号的API端点(如与“忘记密码”流程相关的端点) - 设备网络接口(默认端口或HTTP/HTTPS服务) - 恢复邮箱修改逻辑链路 **攻击路径**: 未认证的请求直接触发“邮箱修改”API → 绕过身份验证 → 控制账户 → 获取视频流访问权限。 --- ### **L2 假设与验证** **假设条件**: 1. 存在可被直接调用的`/api/change_recovery_email`或类似未受保护的API端点。 2. 请求参数`email`未强制校验来源身份(如无Token/Bearer验证)。 3. 邮箱修改后未触发二次验证或通知机制。 **验证步骤**: 1. **端口扫描**:使用`nmap`探测设备开放端口(如`nmap -p- <目标IP>`),定位HTTP/HTTPS服务端口。 2. **API枚举**:通过工具(如Burp Suite)或自动化脚本枚举API路径,重点关注与账户、密码重置相关的端点。 3. **未授权调用测试**:构造POST请求尝试修改邮箱(示例): ``` POST /api/recovery/update_email HTTP/1.1 Host: <设备IP> Content-Type: application/json { "email": "[email protected]" } ``` 若响应返回`200 OK`且邮箱被更新,则漏洞存在。 --- ### **L3 边界/异常场景** **需验证的异常输入**: - **越权场景**:非关联账户是否可修改他人邮箱。 - **默认配置问题**:设备是否默认启用API接口且无白名单限制。 - **日志覆盖**:攻击行为是否被记录(如未记录未授权API调用)。 **测试案例**: 1. 使用未注册账户的IP尝试调用API,观察是否成功。 2. 检查设备日志是否记录异常请求(如`grep "update_email" /var/log/device.log`)。 3. 测试邮箱格式异常输入(如`%[email protected]`或超长字符串),验证输入过滤机制。 --- ### **L4 防御反推与修复** **防御验证点**: 1. **身份验证强制**:所有敏感操作(如修改邮箱、密码重置)需绑定Token或双因子认证(2FA)。 2. **输入校验加固**:API参数需校验来源IP(白名单)、请求头(如`X-Requested-With`)及参数格式。 3. **日志与监控**:记录所有未授权访问尝试,并设置告警规则(如短时间内多次调用API)。 **修复建议**: 1. **立即隔离设备**:通过防火墙规则限制API端口仅允许内部IP访问(如`iptables -A INPUT -p tcp --dport 80 -s <可信IP> -j ACCEPT`)。 2. **更新固件**:等待霍尼韦尔发布补丁,通过`curl -u admin:password http://<设备IP>/update`等官方接口部署(需厂商确认)。 3. **最小权限原则**:禁用未使用的API端点,启用网络分段(将监控设备与业务网隔离)。 **补充说明**: 若无法获取设备访问权限,可通过厂商获取API文档进行白盒测试,或通过Shodan搜索暴露于互联网的霍尼韦尔设备进行被动分析。