CrimsonfiedOfficial/CVE-2026-29116
GitHub: CrimsonfiedOfficial/CVE-2026-29116
一份针对大华监控产品未授权远程拒绝服务漏洞(CVE-2026-29116)的深度技术分析与缓解建议报告。
Stars: 1 | Forks: 0
# CVE-2026-29116 — Dahua 未授权远程拒绝服务
[](https://www.first.org/cvss/calculator/4.0#CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)
[](#attack-prerequisites)
[](#attack-prerequisites)
## 目录
- [执行摘要](#executive-summary)
- [概览](#at-a-glance)
- [漏洞时间线](#vulnerability-timeline)
- [描述](#description)
- [技术分析](#technical-analysis)
- [受影响的产品](#affected-products)
- [CVSS 评分](#cvss-scoring)
- [漏洞评分详情](#vulnerability-scoring-details)
- [CWE 分类](#cwe-classification)
- [攻击前提条件](#attack-prerequisites)
- [利用场景](#exploitation-scenarios)
- [影响评估](#impact-assessment)
- [检测与入侵指标](#detection-and-indicators-of-compromise)
- [缓解与修复](#mitigation-and-remediation)
- [临时解决方案](#workarounds)
- [厂商回应](#vendor-response)
- [参考资料](#references)
- [免责声明](#disclaimer)
- [文档修订历史](#document-revision-history)
## 执行摘要
在多个 Dahua 安全和监控产品线中发现了一个**严重的未授权远程拒绝服务漏洞**。网络上的攻击者(包括设备暴露在公共互联网时)可以向易受攻击的设备发送**特制网络数据包**。处理该数据包会触发**未处理的异常**(与可触发的断言或致命错误路径一致),导致设备**意外重启**。
由于无需凭据且攻击复杂度低,该漏洞很容易被大规模利用。反复利用可导致摄像机、录像机、对讲终端及相关基础设施出现持续中断。虽然该缺陷**不会**直接破坏存储数据的机密性或完整性,但**可用性影响被评为高**,其 **CVSS 4.0 基础得分为 8.7(高)**。
使用 Dahua IPC、SD、NVR、XVR、EVS、VTO、VTH、ASI 或 TPC 硬件,且固件版本**早于 2026 年 3 月 26 日**的组织,应将修补程序或网络隔离作为首要任务。
## 概览
| 字段 | 值 |
|---|---|
| **CVE ID** | CVE-2026-29116 |
| **厂商** | Dahua Technology |
| **漏洞类型** | 拒绝服务(意外重启) |
| **攻击向量** | 网络 |
| **需要身份验证** | 否 |
| **需要用户交互** | 否 |
| **所需权限** | 无 |
| **CVSS 版本** | 4.0 |
| **CVSS 基础得分** | **8.7 — 高** |
| **CVSS 向量** | `CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N` |
| **CWE** | CWE-617 (可达断言) |
| **可远程利用** | 是 |
| **发布日期** | 2026-06-10 |
| **修复可用性** | **2026 年 3 月 26 日**及之后的固件版本(根据厂商指南) |
## 漏洞时间线
| 日期 | 事件 |
|---|---|
| **≤ 2026-03-26** | 正在分发中的受影响固件版本 |
| **2026-03-26** | 厂商修复截止日期 — 在此日期或之后生成的版本不在受影响范围内(根据安全公告) |
| **2026-06-10T06:16:34 UTC** | CVE-2026-29116 发布 |
| **2026-06-10T06:16:34 UTC** | NVD 记录最后修改时间 |
| **2026-06-10** | Dahua PSI 信任中心发布安全公告 |
| **进行中** | 运维人员应对受影响的资产进行清点、修补和网段隔离 |
## 描述
Dahua 报告了一个影响其监控和门禁产品组合中部分产品的安全漏洞。该缺陷存在于处理入站流量的网络软件中,该软件在处理时未能充分验证或安全处理格式错误或恶意的输入。
**观察到的行为:**
1. **未经身份验证的远程攻击者**通过网络向易受攻击的设备发送**特制数据包**。
2. 设备的网络服务或内部处理程序处理该数据包,并进入**异常代码路径** — 例如,断言失败、未处理的故障或不可恢复的内部错误,这与 **CWE-617 (可达断言)** 一致。
3. 异常的传播导致**系统意外重启**。
4. 在重启周期完成之前,设备不可用。在持续攻击下,设备可能保持在**持久的拒绝服务**状态。
**根据 CVSS 指标,该漏洞不属于以下情况:**
- **不**需要受害者打开网页或点击链接 (`UI:N`)。
- **不**需要攻击者凭据 (`PR:N`)。
- **未**表现出对易受攻击组件的直接**机密性**或**完整性**影响 (`VC:N`, `VI:N`)。
- 在已发布的攻击向量中**未**表现出对后续系统的影响 (`SC:N`, `SI:N`, `SA:N`)。
主要风险是**丧失可用性** — 摄像机停止推流、录像机停止录像、对讲机离线,以及依赖这些设备的自动化工作流程失败。
## 技术分析
### 根本原因(推测)
公开的厂商文本未披露确切的函数或协议端点。根据已发布的 CWE 和行为,最可能的根本原因类别是:
| 类别 | 解释 |
|---|---|
| **可达断言** | 调试或完整性 `assert()`(或同等机制)在生产固件中保持启用状态,并可被格式错误的输入触发。 |
| **未捕获的致命异常** | 解析器或会话状态机在意外的字段值、长度或协议状态下抛出异常/崩溃。 |
| **资源或边界处理不当** | 特制数据包导致在运行时检测到越界访问或无效内存操作,从而终止进程或内核路径。 |
如果故障发生在关键守护进程、主应用程序监督进程或内核相关组件中且没有优雅的恢复机制,上述任何一种情况都可能级联导致**设备全面重启**。
### 攻击面
由于攻击向量是**网络**且**无需权限**,任何在受影响固件上解析攻击者提供的网络输入的可访问服务都可能受到牵连。在 Dahua 部署中,这通常包括但不限于:
- 设备发现和注册服务
- 专有 P2P / 隧道 / 中继握手处理程序
- HTTP/HTTPS 管理接口(在处理原始或分块请求不当的地方)
- RTSP / ONVIF / SIP 相关协议栈(视产品而定)
- 对讲机和门禁信令(VTO/VTH 系列)
### 重启与进程重启的区别
从运维人员的角度来看,这两种结果看起来都像是“摄像机离线”,但它们在运行表现上有所不同:
| 结果 | 运维人员可见的效果 | 日志记录 |
|---|---|---|
| **进程重启** | 短暂的流中断;设备可能保持部分在线状态 | 应用程序崩溃日志 |
| **全面系统重启** | 完全离线窗口;活动会话被中断 | 引导序列、看门狗、内核崩溃追踪 |
厂商的描述明确指出是**意外系统重启**,这意味着这是一次**设备范围**的可用性事件,而不是单个非关键守护进程的重启。
### 反复利用下的稳定性
单次重启会造成破坏。**可重复的远程触发**则更糟:
- 在事件发生或合规录像期间出现监控盲区
- NVR 通道丢失触发错误的“摄像机遮挡”级联警报
- 对讲机 / 门禁端点在入口处不可用
- 中央监控站因大规模离线事件引发警报风暴
- 在重启恢复窗口期遭受暴力破解或后续攻击
## 受影响的产品
### 厂商摘要
| # | 厂商 | 产品系列 | 版本 / 构建指南 |
|---|---|---|---|
| 1 | **Dahua** | IPC / SD / NVR / XVR / EVS / VTO / VTH / ASI / TPC | **受影响:**固件版本**在 2026 年 3 月 26 日之前**(仅限于每个系列中的特定型号) |
**总计:** 1 家受影响的厂商 · 1 个受影响的产品分组(多系列)
### 产品系列参考
| 系列 | 典型角色 | 运维影响示例 |
|---|---|---|
| **IPC** | IP 摄像机 | 丢失实时画面、录像中断、智能事件失效 |
| **SD** | 高速球机 / PTZ | 丢失追踪、预置点失效、巡航中断 |
| **NVR** | 网络视频录像机 | 若设备重启会导致多通道接收中断 |
| **XVR** | 混合 DVR/NVR | 本地 + IP 通道录像中断 |
| **EVS** | 企业视频存储 | 大规模归档接收中断 |
| **VTO** | 视频对讲室外机 | 呼叫失败;无法开门 |
| **VTH** | 视频对讲室内机 | 单元级通讯中断 |
| **ASI** | 门禁 / 安全接口 | 集成的门禁和报警工作流程停滞 |
| **TPC** | 热成像 / 特种平台 | 安全监控盲区 |
### 型号范围说明
Dahua 表示,所列系列中**仅特定型号**受到影响。该公告**并非针对“所有 Dahua 设备”的普遍声明**。运维人员必须交叉核对:
1. 准确的型号
2. 固件构建日期(修复版本必须**在 2026-03-26 或之后**)
3. 厂商 PSI 公告,以获取特定型号的对照表和下载链接
## CVSS 评分
### 摘要
| 得分 | 版本 | 严重程度 | 向量 |
|---|---|---|---|
| **8.7** | **4.0** | **高** | `CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N` |
### CVSS 4.0 指标细分
| 指标 | 值 | 对该 CVE 的含义 |
|---|---|---|
| **AV (攻击向量)** | 网络 (`N`) | 利用过程通过网络路径进行;只要设备可访问,远程攻击者即可实施攻击 |
| **AC (攻击复杂度)** | 低 (`L`) | 无需特殊时机、竞争条件或环境要求 |
| **AT (攻击要求)** | 无 (`N`) | 除网络可达性外,没有特定部署前提条件 |
| **PR (所需权限)** | 无 (`N`) | 未经身份验证的攻击者 |
| **UI (用户交互)** | 无 (`N`) | 不需要受害者的操作(例如打开链接) |
| **VC (脆弱系统机密性)** | 无 (`N`) | 未证明设备发生直接机密性泄露 |
| **VI (脆弱系统完整性)** | 无 (`N`) | 未证明设备发生直接完整性破坏 |
| **VA (脆弱系统可用性)** | 高 (`H`) | 设备变得不可用;属于重启级别的影响 |
| **SC (后续系统机密性)** | 无 (`N`) | 无计分的下游机密性影响 |
| **SI (后续系统完整性)** | 无 (`N`) | 无计分的下游完整性影响 |
| **SA (后续系统可用性)** | 无 (`N`) | 无计分的下游可用性影响 |
### 严重性解释
在 CVSS 4.0 中,**8.7** 分将该问题置于**高**严重性区间内。该分数几乎完全由**复杂度低的未授权远程可用性破坏**所决定。防御者不应仅仅因为机密性和完整性为 `None` 就降低风险评级 — 对于物理安全系统而言,**可用性往往是业务关键属性**。
## 漏洞评分详情
已发布的 CVSS 4.0 选择器位置可视化摘要:
### 利用特征
```
Attack Vector: [Network] Adjacent Local Physical
Attack Complexity: [Low] High
Attack Requirements: [None] Present
Privileges Required: [None] Low High
User Interaction: [None] Passive Active
```
### 对脆弱系统的影响
```
Vuln Confidentiality: [None] Low High
Vuln Integrity: [None] Low High
Vuln Availability: [High] Low None
```
### 后续系统影响
```
Subseq Confidentiality: [None] Low High
Subseq Integrity: [None] Low High
Subseq Availability: [None] Low High
```
## CWE 分类
| # | CWE ID | 名称 | 相关性 |
|---|---|---|---|
| 1 | **CWE-617** | [可达断言]() | 生产代码暴露了可被不受信任的输入触发的断言或致命检查,导致进程或系统终止 |
### 为何符合 CWE-617
CWE-617 描述了开发者依赖断言来检查**外部攻击者可以强行触发**的情况。与优雅的错误处理(返回码、净化过的响应)不同,可达断言通常以**突然终止**告终 — 这与厂商描述的**崩溃或重启**行为一致。
## 攻击前提条件
| 前提条件 | 是否必需? | 备注 |
|---|---|---|
| 有效的设备凭据 | **否** | 未经身份验证的攻击 |
| 受害者用户交互 | **否** | 完全的远程网络触发 |
| 事先攻破其他系统 | **否** | 独立利用 |
| 网络可访问设备 | **是** | 攻击向量为网络 |
| 了解设备型号 | 有帮助,但非严格必需 | 特制数据包可能具有系列针对性 |
| 暴露于互联网 | **非必需**,但会增加风险 | WAN 端口转发和云中继暴露在实践中很常见 |
**可远程利用:** **是**
## 利用场景
### 场景 1 — 暴露在互联网上的摄像机
一台固定的 IPC 通过端口转发用于远程查看。攻击者扫描主机,向开放的服务端口发送特制数据包,并强制其重启。在发生活跃的安全事件期间,摄像机掉线,从而造成录像空白。
### 场景 2 — 扁平的 CCTV VLAN
攻击者攻破了某台企业笔记本电脑(通过网络钓鱼、承包商设备等),并针对监控 VLAN 上的每一台 Dahua 主机。按顺序触发会产生全站范围的“所有摄像机离线”事件,而无需向 VMS 软件进行身份验证。
### 场景 3 — 对讲机中断(VTO/VTH)
某零售店使用 Dahua 门禁室外机。靠近网络的攻击者(或通过暴露的 WAN)在高峰时段反复重启室外机。入口验证和远程开门功能失效,导致运营关闭或启动手动旁通程序。
### 场景 4 — 链式物理安全降级
在发生主动入侵时 NVR 重启,会延迟报警验证和 PTZ 追踪。虽然根据 CVSS 这不是一个直接的“完整性” CVE,但其**物理安全后果**可能非常严重。
### 场景 5 — 持续骚扰 / 服务降级
每隔 N 分钟自动重放触发器,即使设备每次都能快速恢复,也会阻碍其保持稳定的在线时间 — 这是一种**低投入、高破坏性**的攻击,适合针对已知固件特征进行僵尸网络规模的滥用。
## 影响评估
### 技术影响
| 领域 | 评级 | 详情 |
|---|---|---|
| 机密性 | 无(直接影响) | 未证明仅凭此缺陷能导致数据泄露 |
| 完整性 | 无(直接影响) | 未证明仅凭此缺陷能篡改配置或录像 |
| 可用性 | **高** | 重启级别的中断;可重复发生 |
### 业务影响(视情境而定)
| 行业 | 潜在后果 |
|---|---|
| 零售 / 银行 | 在发生商品损耗或欺诈事件期间丢失取证视频 |
| 关键基础设施 | 报警视觉验证出现盲区 |
| 住宅 / 中小企业 | 发生入室盗窃期间出现家庭监控盲区 |
| 智慧城市 | 交通或公共安全摄像机掉线 |
| 门禁控制集成 | 在高峰时段门禁和对讲机不可用 |
### 规模化考量
拥有**成百上千**台 Dahua 端点的组织应对以下情况进行建模评估:
- 每次重启的平均恢复时间
- 大规模中断期间中央监控系统的信息干扰
- 违反托管服务客户 SLA 的风险
| 对录像连续性带来的保险或合规影响 | | |
## 检测与入侵指标
由于厂商尚未公开数据包捕获或特定于 CVE 的特征码,因此检测应侧重于**行为指标**:
### 主机 / 设备指标
- 非管理员发起的升级或电源事件导致的意外重启
- 引用内核崩溃、看门狗复位或异常重启的启动原因标志
- 应用程序日志显示在停机前瞬间发生断言失败或致命错误
- 短暂的运行时间与异常网络流量的爆发存在相关性
### 网络指标
- 在设备离线事件之前,出现来自单一源或分布式的异常数据包爆发
| 来自不受信任子网对 Dahua 相关服务端口的扫描活动 | | |
- 外部 SYN/UDP/HTTP 模式与摄像机/NVR syslog 重启时间戳之间存在相关性
### 运维关联
- 多台设备同时离线,且并非 PoE 交换机故障
- 离线事件**未**伴随交换机接口错误(表明是端点级别的崩溃)
- 以固定间隔反复发生中断(可能是自动重放攻击)
### 推荐日志记录
- 集中收集摄像机、NVR 和对讲机的 **syslog**
- 保留包含监控设备的网段的**防火墙 / 边缘**流量
- 针对短时间内 VMS 发生的大规模设备断开事件发出警报
## 缓解与修复
### 主要修复措施 — 固件更新
1. 清点所有 Dahua 设备的型号、序列号和**固件构建日期**。
2. 识别出构建版本在 **2026 年 3 月 26 日之前**的设备。
3. 从 [Dahua PSI 信任中心](https://www.dahuasecurity.com/about-dahua/trust-center/dahua-psi)或授权的分发渠道下载经过厂商批准的固件。
4. 在维护窗口内安排升级;修补后验证录像和对讲功能。
5. 只有在确认是修复版本后,才重新测试外部暴露的服务。
### 补偿性控制措施(在修补之前)
| 控制措施 | 目标 |
|---|---|
| **网络隔离** | 将摄像机/NVR 放置在专用 VLAN 上,并使用默认拒绝的 ACL |
| **移除端口转发** | 消除直接的 WAN 暴露;改用 VPN 或零信任访问 |
| **限制源 IP** | 仅允许 VMS、跳板机和操作员子网访问设备管理端口 |
| **禁用未使用的服务** | 减少协议攻击面(禁用不需要的 HTTP/ONVIF/PPPoE 等) |
| **出站过滤** | 在策略允许的情况下,限制意外的中继行为 |
| **物理备件 / 故障转移** | 对于关键监控点,保持重叠覆盖 |
### 企业变更管理
- 在 CMDB 中记录固件版本
- 将补丁状态与采购和 RMA 工作流程挂钩
- 在供应商风险审查周期中纳入对 Dahua PSI 的监控
## 临时解决方案
目前尚无厂商记录在案的**仅靠配置的临时解决方案**,能够在不升级到修复版本的情况下完全消除该漏洞。在应用固件更新之前,**网络层限制**是切实可行的临时解决方案:
1. 阻止不受信任的网络访问设备管理和专有服务端口。
2. 监控重复的重启模式,并在边缘防火墙处隔离违规源。
3. 在可用的情况下,将设备置于经过身份验证的 VPN 集中器之后,而不是直接暴露。
## 厂商回应
Dahua 通过其**产品安全事件 (PSI)** 计划发布了此问题。官方资源:
- **信任中心 / PSI:** https://www.dahuasecurity.com/about-dahua/trust-center/dahua-psi
运维人员应将厂商公告视为以下信息的权威来源:
- 特定型号的受影响列表
- 修复后的固件下载链接
- 额外的安全强化建议
## 参考资料
| 资源 | URL |
|---|---|
| Dahua PSI 信任中心 | https://www.dahuasecurity.com/about-dahua/trust-center/dahua-psi |
| NVD 条目 | https://nvd.nist.gov/vuln/detail/CVE-2026-29116 |
| CVE 记录 | https://www.cve.org/CVERecord?id=CVE-2026-29116 |
| CWE-617 定义 | https://cwe.mitre.org/data/definitions/617.html |
| CVSS 4.0 规范文档 | https://www.first.org/cvss/v4.0/specification-document |
## 免责声明
本文档是一份**信息安全公告**,是根据公开可用的 CVE 元数据和厂商声明编制的。旨在帮助防御者、集成商和研究人员了解 **CVE-2026-29116** 的风险并确定补救措施的优先级。
- 本 README **不**提供漏洞利用代码、特制数据包模板或分步攻击说明。
- 标记为*推测*的技术分析部分是对公开数据的合理解读,并非厂商确认的根本原因披露。
- 受影响型号的判定**必须**根据官方 Dahua PSI 公告和您的设备固件构建日期进行核实。
- 作者不对基于本文档采取的行动承担责任。请根据贵组织的变更管理策略进行修补、测试和部署。
**负责任的使用:** 通过协调披露渠道(厂商 PSI、国家 CERT 或适用的成熟漏洞赏金计划)报告其他发现。
## 文档修订历史
| 版本 | 日期 | 变更 |
|---|---|---|
| 1.0 | 2026-07-11 | 基于 CVE-2026-29116 发布数据的初始综合安全公告 README |
CVE-2026-29116 · Dahua Technology · CVSS 4.0 8.7 高危 · CWE-617
标签:CVE, 大华, 拒绝服务, 数字签名, 漏洞分析, 物联网安全, 路径探测, 配置错误, 防御加固