P2P通信软件组件iLnkP2P存在严重的安全漏洞。黑客可以劫持并访问近200万个物联网设备并对其进行远程控制。 P2P软件组件iLnkP2P部署在数百万个物联网设备上。 iLnkP2P用于安全摄像头和网络摄像头,监视器,智能门铃和数字视频录像机。攻击者可以利用漏洞窃听,窃取密码和远程攻击。
发现漏洞的研究员Paul Marrapese表示,该漏洞影响了全球200万台物联网设备,包括HiChip,TENVIS,SV3C,VStarcam,Wanscam,NEO Coolcam,Sricam,EyeSight和HVCAM。由于iLnkP2P用于多个品牌的物联网设备,因此很难识别易受攻击的设备,但可以使用特定的序列号(UID)来识别这些易受攻击的设备。
图片:krebsonsecurity
研究人员表示,每个ID在开头都有一个独特的字母前缀,用于标识生产该设备的制造商,许多公司都有白色标记的设备,其中包括iLnkP2P软件。具有以下前缀的设备容易受到攻击。
据报道,39%的易受攻击的物联网产品在中国,19%在欧洲,7%在美国。研究人员通知了一些设备供应商,但他们没有收到回应。
CVE-2019-11219是iLnkP2P中的枚举漏洞,允许攻击者快速发现在线设备。 CVE-2019-11220是指iLnkP2P身份验证漏洞,它允许攻击者拦截设备的连接,执行中间人攻击并远程控制设备。