【译】雄迈摄像头爆出Mirai僵尸 络

要通过P2P 络访问Xiongmai设备，必须知道分配给每个设备的唯一ID（UID）。UID基本上是使用设备的内置MAC地址（一串数字和字母，如68ab8124db83c8db）以易于重现的方式派生的。

电子公司被分配了他们可能使用的MAC地址范围，但SEC Consult发现Xiongmai实际上使用分配给其他公司的MAC地址范围，包括科技巨头Cisco Systems，德国印刷机制造商Koenig＆Bauer AG，和瑞士化学分析公司Metrohm AG。

SEC Consult了解到，通过为每个MAC地址范围计算所有可能的UID范围，然后扫描Xiongmai的公共云以获取支持XMEye的设备，找到Xiongmai设备是微不足道的。根据扫描仅有2％的可用范围，SEC Consult保守估计在线有大约900万个熊迈P2P设备。

[据记载，KrebsOnSecurity 长期以来一直 建议物联 设备的买家避免那些宣传P2P功能的原因。熊迈的崩溃是另一个例子，为什么这仍然是坚实的建议]。

BLANK TO BANK

虽然仍需要提供用户名和密码来通过此方法远程访问XMEye设备，但SEC Consult指出，全能管理用户（用户名“admin”）的默认密码为空（即无密码）。

管理员帐户可用于对设备执行任何操作，例如更改其设置或上载软件 – 包括Mirai等恶意软件。并且因为用户不需要在初始设置阶段设置安全密码，所以可能通过这些默认凭证可以访问大量设备。

由Xiongmai的软件和硬件驱动的物联 设备的管理登录屏幕。

几乎所有Xiongmai设备的另一个赠品是将“http：//IP/err.htm”粘贴到浏览器地址栏中，应显示以下错误消息（其中IP =设备的本地IP地址）：

具有讽刺意味的是，即使是Xiongmai设备的错误页面也包含错误。

据SEC咨询公司称，熊??迈的电子和硬件构成了以下公司名称销售和销售的IP摄像机和DVR的核心。

下面列出的许多公司最引人注目的是，其中大约一半的公司甚至没有自己的 站，而只是依靠Amazon.com或其他电子商务 点的直接面向消费者的产品列表。在那些直接通过 络销售熊迈产品的公司中，很少有人甚至提供安全的（https：//） 站。

SEC Consult的博客文章中有关他们的调查结果的更多技术细节，以及他们今天发布的安全建议。

在回答有关SEC咨询 告的问题时，Xiongmai表示现在正在使用新的加密方法为其XMEye设备生成UID，并且不再依赖于MAC地址。

Xiongmai还表示，用户在使用XMEye Internet Explorer插件或移动应用程序时将被要求更改设备默认用户名和密码。该公司还表示，它已在2018年8月之后删除了固件版本中的“默认”帐户。它还对SEC Consult声称它不加密设备处理的流量提出异议。

为了回应批评用户在Web界面中更改的任何设置不会影响只能通过telnet访问的用户帐户，Xiongmai表示已准备好“很快”从其设备中完全删除telnet。

KrebsOnSecurity无法验证Xiongmai索赔的真实性，但应该指出的是，该公司过去曾做过许多此类声明和承诺，从未实现过。

SEC咨询漏洞实验室负责人约翰内斯·格里尔（Johannes Greil）表示，据他所知，没有任何公布的修正案已经实现。

“我们期待Xiongmai能够解决新设备以及现场所有设备的漏洞，”Greil说。

根据美国证券交易委员会咨询公司的数据，这里是白熊标识熊迈不安全产品的最新公司名单：

9Trading 
Abowone 
AHWVSE 
安冉
ASECAM 
Autoeye 
AZISHN 
A-ZONE 
BESDER / BESDERSEC 
宝视佳
Bestmo 
BFMore 
BOAVISION 
壁垒
CANAVIS 
CWH 
达瑞
datocctv 
DEFEWAY 
digoo 
DiySecurityCameraWorld 
DONPHIA 
ENKLOV 
ESAMACT 
ESCAM 
EVTEVISION 
Fayele 
FLOUREON 
拂逆
GADINAN 
GARUNK 
HAMROL 
HAMROLTE 
天翔
Hiseeu 
HISVISION 
HMQC 
IHOMEGUARD 
ISSEUSEE 
iTooner
JENNOV 
Jooan 
Jshida 
JUESENWDM 
巨丰
JZTEK 
KERUI 
KKMOON 
KONLEN 
Kopda 
Lenyes 
LESHP 
LEVCOECAM 
LINGSEE 
LOOSAFE 
MIEBUL 
MISECU 
Nextrend 
OEM 
OLOEY 
OUERTECH 
QNTSQ 
SACAM 
SANNCE 
SANSCO 
中视
壳牌膜
Sifvision / sifsecurityvision 
SMAR 
SMTSEC 
SSICON 
SUNBA 
Sunivision 
Susikum 
TECBOX 
Techage 
Techege 
TianAnXun 
TMEZON 
TVPSii 
独特的眼光
unitoptek 
USAFEQLO 
VOLDRELI 
Westmile 
Westshine 
Wistino 
Witrue 
WNK安全技术
WOFEA 
WOSHIJIA 
WUSONLUSAN 
XIAO 
MAAANX 
xloongx 
YiiSPO 
YUCHENG 
YUNSYE 
zclever 
zilnk 
ZJUXIN 
zmodo 
ZRHUNTER

相关资源：迈创Matrox G200eV