奇偶科技影像監控管理軟體系統存在重大漏洞
資安公告內容
2025年4月27日,奇偶科技(GeoVision)發布資安公告,指出其影像監控管理軟體系統GV-VMS V20存在多項資安漏洞,包括CVE-2026-42369、CVE-2026-42370與CVE-2026-7372。
這些漏洞影響GV-VMS V20版本20.0.2以下的版本,攻擊者僅需發送特製的HTTP請求,即可在未經身分驗證的情況下觸發漏洞,並執行任意程式碼。
修補資訊
奇偶科技已發布GV-VMS 20.1.0版本進行修補,建議用戶盡快更新至該版本以確保系統安全。
其他相關漏洞與事件
- 2024年11月,資安研究機構The Shadowserver Foundation揭露,惡意程式殭屍網路正利用奇偶科技設備的零時差漏洞,大規模入侵並植入Mirai惡意程式,導致全球約1.7萬臺設備遭入侵。
- 2024年5月,資安業者Akamai發現Mirai殭屍網路變種LZRD攻擊行動,主要鎖定存在命令注入漏洞(CVE-2024-6047、CVE-2024-11120)的奇偶科技設備。
- 2020年6月,Acronis調查發現奇偶科技部分門禁控制器存在資安漏洞(CVE-2020-3928、CVE-2020-3929、CVE-2020-3930),涉及指紋掃描器與門禁管理設備,且用戶指紋資料可能被盜取。
補充說明
奇偶科技已透過更新韌體修補部分漏洞,但截至2024年6月,其官網仍未明確陳列最新韌體版本,且仍有一項允許駭客重製裝置協定與命令的重大漏洞未被修補。