信息來源：國家互聯網應急中心 

        近期，國家信息安全漏洞共享平臺（CNVD）收錄了NETWAVE IP Camera內存信息泄露漏洞（CNVD-2017-01037）。攻擊者可利用漏洞獲取網絡攝像頭的賬號、密碼等敏感信息，進而取得設備的操作管理權限。該漏洞有可能被惡意代碼進一步利用，形成IOT控制網絡。

        一、漏洞情況分析

        NETWAVE IP Camera是由荷蘭NetWave Systems B.V.公司生產的網絡攝像頭產品。NETWAVE IP Camera存在內存泄露漏洞以及多處非授權訪問信息泄露風險(如:獲到設備ID、系統(tǒng)信息和網絡狀態(tài)等)，其中較為嚴重的風險是可通過訪問“//proc/kcore”頁面獲得內存影像信息，相關信息中有可能直接獲得設備的用戶名、密碼等敏感信息，進而取得設備控制臺的管理操作權限。

        CNVD對該漏洞的綜合評級為“高?！?。目前，相關利用方式已經在互聯網上公開，近期有出現大量攻擊嘗試的可能。

        二、漏洞影響范圍

        在初始設置狀態(tài)下，漏洞影響NETWAVE IP Camera的所有版本。根據CNVD秘書處普查情況，互聯網上約有11.9萬臺IP標定為NETWAVE IP Camera設備，其中歐美地區(qū)使用較多，排名前十名的國家和地區(qū)有法國（占比21.3%）、德國（16.9%）、美國（8.1%）、荷蘭（6.4%）、意大利（5.5%）、韓國（3.6%）、西班牙（3.0%）、中國香港（2.6%）、英國（2.6%）和巴西（2.3%），而中國大陸地區(qū)有1222臺IP設備（占比1.0%）。根據對中國境內IP測試結果，開放控制臺訪問權限的IP有48.4%，而存在漏洞的比例不到3%。

        三、漏洞修復建議

        廠商尚未提供漏洞修補方案，請關注廠商主頁及時更新：http://www.netwavesystems.com/。同時，建議相關用戶設置防火墻白名單，禁止無關IP和用戶訪問管理控制臺以相關未授權頁面，

         附：參考鏈接：

        http://cn.0day.today/exploit/26889

        http://www.cnvd.org.cn/flaw/show/CNVD-2017-01037