LG Innotek摄像头漏洞可使攻击者获取管理员权限

核心发现

研究人员在LG Innotek的LNV5110R摄像头型号中发现严重安全漏洞，网络犯罪分子可利用该漏洞完全控制受影响设备。美国网络安全和基础设施安全局（CISA）于2025年7月24日发布公告，警告该漏洞可被远程利用，影响全球所有版本的该型号摄像头。

认证绕过漏洞分析（CVE-2025-7742）

该漏洞编号为CVE-2025-7742，属于通过替代路径或通道实现的认证绕过漏洞（CWE-288）。安全研究员Souvik Kandar发现，攻击者可通过向设备的非易失性存储上传特制HTTP POST请求来利用此漏洞。

此认证缺陷使攻击者能够绕过常规安全控制，以管理员权限执行任意命令。该漏洞CVSS v3.1基础评分为7.0，表明其具有较高的网络可访问性但攻击复杂度较高。在新版CVSS v4.0评分系统中，该漏洞获得更严重的8.3分，突显其对机密性的重大风险。

成功利用此漏洞可实现远程代码执行（RCE），使攻击者能以管理员权限在目标设备上运行任意命令。这种级别的访问权限可能使网络犯罪分子操纵摄像头画面、访问敏感监控数据，或将受感染设备作为跳板发起更广泛的网络攻击。该漏洞尤其威胁到商业设施和关键基础设施领域，这些场所普遍部署了此类摄像头。

风险因素与缓解措施

LG Innotek已确认LNV5110R型号为停产产品，将不会发布安全补丁。用户必须依靠防御措施来降低风险，包括将设备与互联网隔离，并在防火墙后实施网络分段。

CISA建议采用纵深防御策略，使用虚拟专用网络（VPN）进行远程访问，并确保控制系统网络与企业网络隔离。组织在部署防御措施前应进行充分的影响分析和风险评估。

行业级安全警示

LNV5110R 事件揭示了一个日益严重的趋势：物联网与监控硬件的物理寿命往往远超厂商承诺的支持周期，由此催生大量无人维护的“僵尸”设备，极易沦为攻击入口。

正如多位安全研究者指出，这些产品的可修补固件生命周期始终滞后于其物理寿命，尤其在升级频率低或成本高昂的领域，这一问题更为突出。

江苏深网科技是一家专门从事跨域安全产品开发、销售，提供网络攻防技术服务的网络安全公司，并成立自主品牌“深铠威”。公司主营业务面向工业互联网、物联网等新基建大背景，重点研发、销售跨域安全产品和网络安全工具软件。公司核心团队来自于军队科研院所和国内知名高科技企业，依托核心团队多年的网络安全攻防技术研究，目前已推出网闸、光闸、数据交换平台等跨域交换安全产品以及IPSec VPN和SSL VPN安全网关产品，并拥有了细分领域领先的网络攻防技术研发能力。