文章总结： 伊朗对中东地区海康威视和大华摄像机实施定向攻击，攻击活动与实体军事行动高度关联，用于为导弹作战提供情报支援和战损评估，可作为军事行动预警指标。防护建议包括固件更新、关闭公网直连、网络隔离和强认证。 综合评分： 83 文章分类： 威胁情报,渗透测试,漏洞预警

伊朗对网络摄像机的定向攻击与中东实体战争的联动分析

慧盾安全SmartSecuri

2026年3月25日 14:27 江苏

编者按：随着伊朗与美以的冲突持续白热化，战场不止存在于导弹的交锋，网络空间也有激烈交锋，监控渗透、系统攻防、情报博弈同步上演，安全对抗全面升级。全球网络安全排名第八的知名公司Check Point于近日发布研究报告《Interplay between Iranian Targeting of IP Cameras and Physical Warfare in the Middle East》。这份报告不仅是中东地缘冲突的安全侧写，更向全球政企与关键基础设施敲响警钟：泛联网摄像头已从安防工具沦为易被武器化的薄弱环节。唯有强化固件更新、关闭公网直连、落实边界隔离与强认证管控，才能筑牢数字防线，抵御网络空间向物理世界的渗透威胁。

报告全文如下:

关键发现

在当前冲突期间，我们发现自2月28日起，来自伊朗威胁行为体相关基础设施的攻击活动，对两家制造商生产的网络摄像机的定向攻击力度显著加大。

攻击范围覆盖以色列、卡塔尔、巴林、科威特、阿联酋和塞浦路斯等国，这些国家均遭受过与伊朗相关的重大导弹袭击。3月1日，我们还观测到针对黎巴嫩特定区域摄像机的定向攻击活动。

此外，我们在1月14-15日期间就观测到针对以色列和卡塔尔境内摄像机的早期精准攻击活动。这一时段恰逢伊朗临时关闭领空，据称是因伊朗方面预判美国可能发动军事打击。

综合上述发现可以得出结论：伊朗将攻陷摄像机作为其作战原则的一部分，利用该手段为导弹作战行动提供作战支援和持续战损评估，在部分情况下甚至会在导弹发射前实施此类操作。因此，追踪特定溯源基础设施发起的摄像机定向攻击活动，可作为预判后续实体军事行动的早期预警指标。

引言

《2026年网络安全报告》着重指出，网络作战已日益成为国家间冲突的重要辅助手段，既可为军事行动提供支援，也能为持续战损评估提供数据支撑。在2025年6月以色列与伊朗爆发的12天冲突中，敌方攻陷摄像机的行为很可能就是为了辅助战损评估或目标修正工作。

在当前的中东冲突中，Check Point研究团队观测到，冲突爆发后的数小时内针对摄像机的攻击活动便开始加剧，不仅以色列境内的网络摄像机遭受的攻击大幅增加，海湾地区国家（包括阿联酋、卡塔尔、巴林、科威特）以及黎巴嫩、塞浦路斯境内也出现了类似攻击活动。这些攻击活动源于多个攻击基础设施，经溯源均与伊朗相关的多个威胁行为体有关。

值得注意的是，我们还发现了更早出现的同类攻击模式，相关活动可追溯至1月14日，恰逢伊朗反政府抗议活动的高峰期。这一时期，伊朗方面预判美国和以色列可能采取军事行动，因此临时关闭了本国领空。

研究发现

Check Point研究团队持续追踪与伊朗相关威胁行为体所使用的基础设施。

自2月28日起，我们观测到中东多个国家（以色列、阿联酋、卡塔尔、巴林、科威特、黎巴嫩）境内针对网络摄像机的攻击活动激增，塞浦路斯境内也出现了类似攻击行为。

我们追踪到的攻击基础设施整合了特定商业虚拟专用网络出口节点（包括Mullvad、ProtonVPN、Surfshark、NordVPN）和虚拟专用服务器，经评估，该基础设施被多个伊朗相关威胁行为体共同使用。

观测到的扫描活动主要针对海康威视和大华品牌的摄像机，攻击行为均围绕利用以下所列漏洞展开。该基础设施未对其他品牌摄像机发起任何攻击尝试。

海康威视和大华主流设备成为攻击目标，相关漏洞如下：

| | | | — | — | | CVE编号 | 漏洞描述 | | CVE-2017-7921 | 海康威视IP摄像机固件中存在身份验证不当的漏洞 | | CVE-2021-36260 | 海康威视Web服务器组件中的命令注入漏洞 | | CVE-2023-6895 | 海康威视对讲广播系统中的操作系统命令注入漏洞 | | CVE-2025-34067 | 海康威视集成安全管理平台中存在未经身份验证的远程代码执行漏洞 | | CVE-2021-33044 | 多款大华产品存在身份验证绕过漏洞 |

上述所有漏洞均已有对应的修复补丁。

作为案例研究，我们对上述两个漏洞（CVE-2021-33044和CVE-2017-7921）进行了深入分析，并核查了今年年初以来观测到的、来自伊朗相关作战基础设施的漏洞利用尝试。

各国遭受的攻击活动浪潮

• 针对以色列的攻击活动浪潮

此类攻击活动的激增与同期地缘政治事件高度关联：

1月14-15日——伊朗国内反政府抗议活动达到顶峰，伊朗官员和官方媒体将此次动荡描述为美国、以色列等敌对势力幕后操纵的阴谋，伊朗方面同时关闭了本国领空。同期，我们观测到伊拉克库尔德斯坦地区也出现了一波摄像机扫描活动。

1月24日——紧张局势升级背景下，美国中央司令部司令访问以色列，与以色列国防军总参谋长举行会晤。

2月初——伊朗领导层愈发担忧美国可能发动军事打击；与伊朗及伊斯兰革命卫队相关的舆论发声警告称，任何军事打击都可能引发更大范围的地区战争。

• 针对卡塔尔的攻击活动浪潮

• 针对巴林的攻击活动浪潮

• 针对科威特的攻击活动浪潮

• 针对阿拉伯联合酋长国的攻击活动浪潮

• 针对塞浦路斯的攻击活动浪潮

• 针对黎巴嫩的攻击活动浪潮

我们在2025年6月以色列与伊朗的12天战争期间观测到了类似的定向攻击模式，这类攻击很可能用于辅助战损评估或目标修正。其中最知名的案例为：伊朗使用弹道导弹袭击了以色列魏茨曼科学研究所，据报道，在袭击发生前，伊朗方面已控制了正对该建筑的街道监控摄像头。

防护方建议

• 消除公网暴露面

  关闭摄像机/网络视频录像机的直接广域网访问权限；将设备部署在虚拟专用网络或零信任访问网关后方；封禁入站端口转发。

• 强化身份凭证管理

  修改默认密码，强制使用唯一身份凭证。

• 补丁管理

  及时更新摄像机/网络视频录像机的固件和管理软件——制造商已提供相关更新程序；淘汰/更换不再提供安全修复的停产设备。

• 网络隔离

  将摄像机部署在专用虚拟局域网中，禁止其横向访问企业网络/工业控制系统网络；严格管控出站流量（仅允许访问必要的更新服务器/云终端）。

• 监控与检测

  重点监测重复登录失败、异常远程登录行为以及摄像机发起的非正常出站连接。

往期精彩回顾

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：慧盾安全SmartSecuri 《伊朗对网络摄像机的定向攻击与中东实体战争的联动分析》