CrimsonfiedOfficial/CVE-2026-29115
GitHub: CrimsonfiedOfficial/CVE-2026-29115
该项目详细记录并分析了大华 IPC/SD 摄像头中一个需要高权限认证的远程拒绝服务漏洞(CVE-2026-29115),提供完整的技术剖析与修复指引。
Stars: 1 | Forks: 0
# CVE-2026-29115 — Dahua 认证后远程拒绝服务漏洞
[](https://www.first.org/cvss/calculator/4.0#CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)
[](#攻击前提条件)
[](#攻击前提条件)
## 目录
- [执行摘要](#executive-summary)
- [概览](#at-a-glance)
- [与 CVE-2026-29116 的关系](#relationship-to-cve-2026-29116)
- [漏洞时间线](#vulnerability-timeline)
- [描述](#description)
- [技术分析](#technical-analysis)
- [受影响的产品](#affected-products)
- [CVSS 评分](#cvss-scoring)
- [漏洞评分详情](#vulnerability-scoring-details)
- [CWE 分类](#cwe-classification)
- [攻击前提条件](#attack-prerequisites)
- [利用场景](#exploitation-scenarios)
- [影响评估](#impact-assessment)
- [检测与失陷指标](#detection-and-indicators-of-compromise)
- [缓解与修复](#mitigation-and-remediation)
- [临时解决方案](#workarounds)
- [厂商回应](#vendor-response)
- [参考链接](#references)
- [免责声明](#disclaimer)
- [文档修订历史](#document-revision-history)
## 执行摘要
在特定的 Dahua **IPC(IP 摄像头)**和 **SD(高速球机 / PTZ)**产品中发现了一个**中等严重程度的、认证后的远程拒绝服务漏洞**。已经拥有**有效设备凭据**的攻击者可以向易受攻击的设备发送**特制的数据包**。处理该数据包会触发**未处理的异常**(与可触发的断言或致命错误路径一致),导致设备**意外重启**。
与其要求**无需认证**的同类披露 [CVE-2026-29116](../CVE-2026-29116/README.md) 不同,此漏洞要求在目标设备上拥有**高权限**(`PR:H`)。这一限制降低了机会性全互联网攻击者的实际可利用性,但在摄像头凭据共享、默认、泄露或可恢复的环境中(这在传统 CCTV 部署中很常见),风险仍然很大。
在已发布的 CVSS 向量中,该漏洞**不**体现直接的机密性或完整性影响。可用性影响被评为**高**,**CVSS 4.0 基础得分为 6.9(中危)**。
运行受影响的 Dahua IPC 或 SD 硬件,且固件版本**早于 2026 年 3 月 26 日**的组织应修补漏洞、轮换凭据,并限制管理平面的访问。
## 概览
| 字段 | 值 |
|---|---|
| **CVE ID** | CVE-2026-29115 |
| **厂商** | Dahua Technology |
| **漏洞类型** | 拒绝服务(意外重启) |
| **攻击向量** | 网络 |
| **需要认证** | **是**(高权限) |
| **需要用户交互** | 否 |
| **所需权限** | **高** |
| **CVSS 版本** | 4.0 |
| **CVSS 基础分数** | **6.9 — 中危** |
| **CVSS 向量** | `CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N` |
| **CWE** | CWE-617 (可触发的断言) |
| **远程可利用** | 是 |
| **发布日期** | 2026-06-10 |
| **修复可用性** | **2026 年 3 月 26 日**及之后的固件版本(根据厂商指南) |
## 与 CVE-2026-29116 的关系
这两个 CVE 均于 **2026-06-10** 从同一批 Dahua PSI 披露中发布。它们在结构上具有相似性,但在范围和攻击者模型上有所不同。
| 属性 | CVE-2026-29115(本公告) | [CVE-2026-29116](../CVE-2026-29116/README.md) |
|---|---|---|
| **CVSS 4.0 分数** | **6.9 — 中危** | **8.7 — 高危** |
| **所需权限** | **高 (`PR:H`)** | **无 (`PR:N`)** |
| **受影响系列** | **IPC, SD** | IPC, SD, NVR, XVR, EVS, VTO, VTH, ASI, TPC |
| **发布时间 (UTC)** | 2026-06-10T06:08:21 | 2026-06-10T06:16:34 |
| **观察到的结果** | 意外重启 (DoS) | 意外重启 (DoS) |
| **CWE** | CWE-617 | CWE-617 |
| **索引标题** | 缓冲区溢出 | 跨站脚本攻击(标签错误) |
**防御者重点:**在重叠的 IPC/SD 设备群上修补这两个问题。对于互联网暴露的设备(无需认证),优先修复 **29116**。在**操作员或集成商凭据**广为人知、存储在 VMS 数据库中或嵌入移动应用中的地方,优先修复 **29115**。
## 漏洞时间线
| 日期 | 事件 |
|---|---|
| **≤ 2026-03-26** | 易受攻击的 IPC/SD 固件版本在活跃分发中 |
| **2026-03-26** | 厂商修复截止日期 — 在此日期或之后生成的版本不受影响(根据公告) |
| **2026-06-10T06:08:21 UTC** | CVE-2026-29115 发布 |
| **2026-06-10T06:08:21 UTC** | NVD 记录最后修改 |
| **2026-06-10T06:16:34 UTC** | 相关的 CVE-2026-29116 发布(无需认证的变体) |
| **进行中** | 操作员应盘点 IPC/SD 设备群,修补漏洞并加强凭据 |
## 描述
Dahua 报告了一个影响其 **IPC** 和 **SD** 产品线中**某些型号**的安全漏洞。该漏洞存在于可通过网络访问的软件中,该软件接受经过认证的会话,并在没有充分验证或安全故障处理的情况下处理受攻击者影响的协议数据。
**观察到的行为:**
1. 在设备上拥有**高权限**的**经过认证的远程攻击者**通过网络发送**特制的数据包**。
2. 设备的处理程序处理该数据包并进入**异常代码路径** — 例如,断言失败、未处理的错误或与 **CWE-617(可触发的断言)**一致的不可恢复的内部错误。
3. 异常导致**系统意外重启**。
4. 摄像头或高速球机在重启完成前保持不可用状态。反复利用可导致**持续的拒绝服务**。
**根据 CVSS 指标,此漏洞不是什么:**
- 它**不需要**受害者进行用户交互,例如打开恶意链接(`UI:N`)。
- 它**不**体现直接的**机密性**影响(`VC:N`)。
- 它**不**体现直接的**完整性**影响(`VI:N`)。
- 它**不**显示后续系统影响(`SC:N`、`SI:N`、`SA:N`)。
**与无需认证的变体的区别:**
- 攻击者**必须已经持有**足以满足设备**高权限**阈值(`PR:H`)的凭据。在实践中,这通常映射到管理员或同等的设备级帐户,而不是只读监控用户 — 确切的角色映射是特定于产品的,应根据厂商文档进行确认。
## 技术分析
### 根本原因(推断)
公开的厂商文本未披露易受攻击的函数、服务名称或确切的缓冲区大小。根据已发布的 CWE、标题和行为,可能的原因类别包括:
| 类别 | 解释 |
|---|---|
| **错误输入导致可触发的断言** | 认证后的代码路径验证不充分,并在格式错误的长度或字段上触发 `assert()` 或等效操作。 |
| **缓冲区处理不当导致致命中止** | 超大或格式错误的 payload 超出内部缓冲区;防御性检查发生致命错误,而不是返回错误。 |
| **状态机损坏** | 特制的数据包驱使解析器进入非法状态;完整性检查触发进程终止。|
**发布的结果**是**重启级别的可用性丧失**,在 CVSS 记录中并未证明存在远程代码执行或数据泄露。
### 为什么标题中可能会出现“缓冲区溢出”
CVE 标题并不总是准确的。缓冲区溢出类缺陷可能表现为:
- 立即崩溃(仅影响可用性)
- 受控的内存损坏(潜在的 RCE — 在此 CVE 记录中**未计分**)
在这里,厂商评分将影响限制在**可用性**方面,这表明要么是不可利用的损坏、利用前中止,或者是厂商评估认为无法达到实际的完整性/机密性后果。
### 攻击面(认证平面)
因为利用需要**高权限**,相关的攻击面通常是登录后可用的**管理和配置 API**,而不是匿名发现端点。根据型号和固件的不同,这可能包括:
- 经过认证的 HTTP/HTTPS 配置 API
- 设备维护和升级接口
- SD 产品上的 PTZ / 镜头控制通道
- 认证后可访问的专有配置通道
- VMS 平台使用的集成了 SDK 的管理会话
拥有从 VMS 数据库、安装人员笔记本电脑或默认 `admin` 帐户收集到的凭据的攻击者,可以从暴露管理端口的任何地方访问这些平面。
### IPC 与 SD 的操作差异
| 产品 | 典型部署 | DoS 影响细节 |
|---|---|---|
| **IPC** | 固定摄像机、门镜、小型企业 | 单传感器故障;可能会破坏一个覆盖区域 |
| **SD** | PTZ 球机、周界追踪 | 失去主动追踪;预设巡航中断;较大的机械子系统重置延迟 |
SD 重启后可能需要更长时间才能恢复到校准的 PTZ 状态,从而将有效停机时间延长至超出原始启动时间。
## 受影响的产品
### 厂商摘要
| # | 厂商 | 产品系列 | 版本 / 构建指南 |
|---|---|---|---|
| 1 | **Dahua** | **IPC / SD** | **受影响:**早于 2026 年 3 月 26 日的固件版本(仅限于每个系列中的某些型号) |
**总计:**1 个受影响的厂商 · 1 个受影响的产品组(IPC + SD)
### 产品系列参考
| 系列 | 典型角色 | 潜在操作影响 |
|---|---|---|
| **IPC** | 固定 IP 摄像机 | 实时画面丢失、录像中断、分析掉线 |
| **SD** | 高速球机 / PTZ 摄像机 | 追踪失败、巡航中断、丢失预设直至重新校准 |
### 范围外的系列(本 CVE)
以下 Dahua 产品线**未列在** CVE-2026-29115 中(尽管它们可能受其他 CVE 影响,例如 [CVE-2026-29116](../CVE-2026-29116/README.md)):
- NVR, XVR, EVS(录像机 / 存储设备)
- VTO, VTH(视频对讲)
- ASI(门禁 / 安全接口)
- TPC(热成像 / 特种设备)
### 型号范围注意事项
IPC 和 SD 系列中仅**某些型号**受到影响。操作员必须验证:
1. 确切的型号
2. 固件**构建日期**(已修复版本:**2026-03-26 或之后**)
3. 官方 Dahua PSI 型号矩阵
## CVSS 评分
### 摘要
| 分数 | 版本 | 严重程度 | 向量 |
|---|---|---|---|
| **6.9** | **4.0** | **中危** | `CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N` |
### CVSS 4.0 指标分解
| 指标 | 值 | 对此 CVE 的含义 |
|---|---|---|
| **AV (攻击向量)** | 网络 (`N`) | 通过网络利用;管理服务可访问时,远程攻击者即可发起攻击 |
| **AC (攻击复杂度)** | 低 (`L`) | 未指明需要特殊的竞争条件或环境约束 |
| **AT (攻击要求)** | 无 (`N`) | 除了认证 + 可达性之外,没有其他特殊的部署要求 |
| **PR (所需权限)** | **高 (`H`)** | 攻击者必须持有高权限设备凭据 |
| **UI (用户交互)** | 无 (`N`) | 不需要最终用户点击或浏览器操作 |
| **VC (易受攻击系统机密性)** | 无 (`N`) | 未计分直接的机密性丧失 |
| **VI (易受攻击系统完整性)** | 无 (`N`) | 未计分直接的完整性丧失 |
| **VA (易受攻击系统可用性)** | 高 (`H`) | 重启级别的中断 |
| **SC / SI / SA** | 无 | 未计分后续系统影响 |
### 为什么 PR:H 降低了相对于 CVE-2026-29116 的分数
`PR:H` 是相对于无需认证的同类漏洞的主要分数区分因素:
| 因素 | 影响 |
|---|---|
| 凭据获取壁垒 | 机会性 WAN 扫描器在没有凭据的情况下无法利用 |
| 内部 / 破坏后威胁 | 当 VMS、安装人员或默认设置提供管理员访问权限时,依然严重 |
| 横向移动 | 存有摄像头密码的受损工作站成为利用的起点 |
**6.9 中危**不应被理解为“在任何地方优先级都很低”。在凭据薄弱的 CCTV 环境中,认证后的摄像头攻击是**常态**。
## 漏洞评分详情
已发布的 CVSS 4.0 选择器位置的可视化摘要:
### 利用特征
```
Attack Vector: [Network] Adjacent Local Physical
Attack Complexity: [Low] High
Attack Requirements: [None] Present
Privileges Required: None Low [High]
User Interaction: [None] Passive Active
```
### 对易受攻击系统的影响
```
Vuln Confidentiality: [None] Low High
Vuln Integrity: [None] Low High
Vuln Availability: [High] Low None
```
### 后续系统影响
```
Subseq Confidentiality: [None] Low High
Subseq Integrity: [None] Low High
Subseq Availability: [None] Low High
```
## CWE 分类
| # | CWE ID | 名称 | 相关性 |
|---|---|---|---|
| 1 | **CWE-617** | [可触发的断言](https://cwe.mitre.org/data/definitions/617.html) | 不可信的输入到达了特权代码中致命的断言或中止路径 |
### 认证上下文中的 CWE-617
认证后的漏洞通常被忽视,认为“仅限内部人员”。但在监控网络中:
- 集成商帐户在多个客户站点之间共享
- VMS 服务器集中存储设备密码
- 默认凭据在隔离的 VLAN 上存留多年
- 如果不轮换,前员工仍保留管理员访问权限
因此,**认证管理平面**背后可触发的断言仍然是**重大风险**,尤其是在伴随凭据重用的情况下。
### 缓冲区溢出与 CWE-617
如果底层缺陷涉及内存损坏,CWE-617 可能反映了**可观察到的生产环境行为**(致命中止),而不是完整的弱点分类。无论索引命名如何,防御者都应进行修补。
## 攻击前提条件
| 前提条件 | 是否必需? | 备注 |
|---|---|---|
| **高权限设备凭据** | **是** | `PR:H` — 管理员级别的访问权限(特定于产品) |
| 受害者用户交互 | 否 | 无需钓鱼或浏览器操作 |
| 网络可达性 | 是 | 管理或认证服务端口可达 |
| 先前对其他系统的破坏 | 有帮助,但非强制 | 从 VMS 窃取的凭据符合条件 |
| 互联网暴露 | 非必需 | 增加远程利用的可行性 |
| 了解目标型号 | 有帮助 | 特制的数据包可能是特定于型号/固件的 |
**远程可利用:****是**(一旦拥有凭据和网络路径)
## 利用场景
### 场景 1 — 不满的内部人员
拥有所有站点摄像头管理员凭据的技术人员在下班时间向 IPC 端点发送特制数据包,反复重启关键覆盖区域。
### 场景 2 — 被盗的 VMS 密码库
攻击者从受损的 Milestone / Genetec / 自定义 VMS 主机中窃取摄像头密码数据库。他们远程重启客户 WAN 上的每台 Dahua IPC,而无需进一步提权。
### 场景 3 — 默认凭据扫描
攻击者在互联网暴露的摄像头上使用出厂默认设置(`admin` / 已知密码列表)进行认证,然后触发重启循环,以便在物业其他地方发生物理入侵时骚扰或致盲监控系统。
### 场景 4 — 主动追踪期间的 SD PTZ 破坏
体育场的高速球机正在追踪安全事件。经过认证的特制输入重启了 SD 设备,在关键时间窗口内丢失了主动的 PTZ 追踪和预设定位。
### 场景 5 — 初始破坏后的横向噪声
在通过网络钓鱼感染安装人员的笔记本电脑后,攻击者使用存储的凭据破坏摄像头 — 在另一个团队进行物理进入时降低取证捕获的质量。
## 影响评估
### 技术影响
| 领域 | 评级 | 详情 |
|---|---|---|
| 机密性 | 无(直接影响) | 未在已发布的向量中计分 |
| 完整性 | 无(直接影响) | 未在已发布的向量中计分 |
| 可用性 | **高** | 意外重启;可重复 |
### 业务影响(上下文相关)
| 行业 | 潜在后果 |
|---|---|
| 零售 | 货物损失事件期间出现监控盲区 |
| 交通 | 站台 / 候车室摄像头画面缺失 |
| 关键基础设施 | 周界 PTZ 追踪丢失 |
| 企业园区 | 停车场和入口覆盖失效 |
### 认证壁垒 vs. 现实世界风险
| 环境 | 实际风险等级 |
|---|---|
| 强唯一凭据 + 无 WAN 暴露 | 较低 — 攻击者必须首先突破认证 |
| 500 个摄像头共享集成商密码 | **高** — 单一密钥即可实现大规模 DoS |
| 带有默认管理员的互联网端口转发 | **高** — 类似于无需认证的实际风险 |
| 物理隔离的 LAN,严格的 ACL | 中等 — 依赖于内部人员或横向移动 |
## 检测与失陷指标
没有记录公开的数据包特征。重点关注与**重启事件**相关的**认证会话滥用**。
### 主机 / 设备指标
- 来自异常源 IP 的认证管理会话后出现意外重启
- 重启前设备日志中立即出现致命错误或断言消息
- 管理 API 活动后系统运行时间很短
- SD 设备意外重启后丢失 PTZ 校准标志
### 认证指标
- 来自操作员未使用的地理位置或子网的管理员登录成功
- 单个帐户在多个摄像头上爆发式产生认证 API 调用
- 没有变更工单的非工作时间配置会话
- 使用被认为已停用的旧版集成商帐户
### 网络指标
- 离线事件之前紧接着出现管理端口流量(HTTP/S、专有 SDK 端口)
- 登录后重复的相同 payload 大小或异常的请求模式
- VPN 出口 IP 与摄像头 syslog 重启时间戳之间的关联
### 建议采取的行动
- 在 IPC/SD 设备上启用 **syslog** 并将其转发至集中式 SIEM
- 针对 VMS 在短时间内的**大规模断开连接**发出警报
- 将**认证日志**与**看门狗重启**事件相关联
- 审计拥有**管理员**权限的帐户;移除未使用的集成商登录
## 缓解与修复
### 主要修复 — 固件更新
1. 盘点所有 Dahua **IPC 和 SD** 设备的型号、序列号和固件构建日期。
2. 标记构建日期**早于 2026 年 3 月 26 日**的设备。
3. 从 [Dahua PSI 信任中心](https://www.dahuasecurity.com/about-dahua/trust-center/dahua-psi) 获取已修复的固件。
4. 在维护窗口期间进行升级;重启后验证流、PTZ 预设和分析功能。
5. 在修补后通过设备 UI 或 ONVIF/SDK 查询确认构建日期。
### 凭据管理(对 PR:H 漏洞至关重要)
| 行动 | 理由 |
|---|---|
| **轮换所有摄像头管理员密码** | 消除从旧的 VMS 导出中窃取凭据带来的风险 |
| **每个设备使用唯一密码** | 限制单一密钥泄露的波及范围 |
| **禁用未使用的帐户** | 移除休眠的集成商后门 |
| **强制执行强密码策略** | 减少默认凭据猜测 |
| **在支持的情况下迁移到集中式认证** | 提高可审计性和可撤销性 |
### 网络控制
| 控制 | 目标 |
|---|---|
| **将摄像头划分到专用 VLAN** | 遏制横向移动 |
| **按源 IP 限制管理端口** | 仅允许 VMS 和跳板机进行认证 |
| **消除原始的 WAN 端口转发** | 强制使用 VPN 或零信任访问 |
| **禁用未使用的服务** | 缩小认证后的攻击面 |
| **监控管理 API 访问** | 在重复重启之前检测滥用行为 |
### 与 CVE-2026-29116 协同修补
在 IPC/SD 设备群上,应用能够同时解决 CVE-2026-29115 和 [CVE-2026-29116](../CVE-2026-29116/README.md) 的固件。从暴露的角度来看,无需认证的问题绝对更糟;而在密钥薄弱的情况下,认证后的问题依然危险。
## 临时解决方案
目前没有文档记录仅通过配置即可在不升级固件的情况下完全消除漏洞的权宜之计。在修补之前:
1. **轮换并加强凭据** — 减少能够满足 `PR:H` 的人员。
2. **将管理访问限制**为仅受信任的子网和 VPN。
3. **监控重启循环**并在防火墙处封禁违规来源。
4. 在只需要出站云/P2P 连接的摄像头上**禁用远程管理**(取决于架构)。
## 厂商回应
Dahua 通过其**产品安全事件 (PSI)**计划发布了此问题:
- **信任中心 / PSI:** https://www.dahuasecurity.com/about-dahua/trust-center/dahua-psi
请查阅厂商公告以获取:
- 特定型号受影响的 IPC/SD 列表
- 已修复的固件镜像和发布说明
- 任何额外的加固指南
## 参考链接
| 资源 | URL |
|---|---|
| Dahua PSI 信任中心 | https://www.dahuasecurity.com/about-dahua/trust-center/dahua-psi |
| NVD 条目 | https://nvd.nist.gov/vuln/detail/CVE-2026-29115 |
| CVE 记录 | https://www.cve.org/CVERecord?id=CVE-2026-29115 |
| 相关:CVE-2026-29116 | https://www.cve.org/CVERecord?id=CVE-2026-29116 |
| CWE-617 定义 | https://cwe.mitre.org/data/definitions/617.html |
| CVSS 4.0 规范 | https://www.first.org/cvss/v4.0/specification-document |
## 免责声明
本文档是一份**信息安全公告**,根据公开可用的 CVE 元数据和厂商声明汇编而成。旨在帮助防御者、集成商和研究人员了解 **CVE-2026-29115** 的风险并确定修复的优先级。
- 本 README **不**提供漏洞利用代码、特制的数据包模板或攻击指南。
- 推断性的技术分析并非厂商确认的根本原因披露。
- 型号和固件的适用性**必须**对照官方 Dahua PSI 指南进行验证。
- 作者不对基于本文档采取的行动承担责任。
**负责任地使用:** 通过协调披露(厂商 PSI、CERT 或授权的漏洞赏金计划)报告其他发现。
## 文档修订历史
| 版本 | 日期 | 变更 |
|---|---|---|
| 1.0 | 2026-07-11 | 基于 CVE-2026-29115 发布数据的初始综合公告 README |
CVE-2026-29115 · Dahua Technology · CVSS 4.0 6.9 中危 · CWE-617 · IPC / SD
标签:CVE-2026-29115, 大华, 拒绝服务攻击, 摄像头漏洞, 物联网安全, 配置错误, 防御加固