RMX4000/2000等MCU平台经官方确认不受Shellshock漏洞影响
这份HP官方安全公告(编号PLYGNA14-03)核心是解决2014年爆发、被称为“Shellshock”(破壳)的GNUBash远程代码执行漏洞(CVE-2014-6271等)。该漏洞影响所有使用Bash作为默认shell的Linux/Unix系统,攻击者可通过环境变量注入执行恶意代码,对视频会议系统构成严重安全威胁。
该文档是针对Polycom(现HPPoly)全系列产品的官方漏洞影响评估与修复指南,核心目标是帮助用户识别哪些设备受影响,并指导如何规避风险。
一、漏洞核心影响
“Shellshock”可通过四个主要攻击向量被利用:
攻击向量说明
HTTP(CGI)通过操控目标HTTP服务器的CGI调用注入恶意代码
SSH通过SSH登录到BashShell执行恶意命令
DHCP目标DHCP客户端连接到恶意DHCP服务器,触发代码执行
SIP向目标的SIP协议栈插入恶意字符串
文档强调:有效的缓解方案必须结合产品内部修复和部署架构防护,两者缺一不可。
重要提示:该漏洞已于2014年被广泛披露并已发布多年补丁。本文档为历史公告,建议所有在网设备无论是否列于“受影响”列表,均应将固件更新至厂商支持的最新版本,以获取包括早期Bash漏洞在内的全部安全修复。
二、受影响与不受影响产品分类
2.1受影响产品(需升级或加固)
产品类别具体型号/版本漏洞状态已知修复版本
云协作平台CloudAXISExperiencePortal受影响(Bash)计划11月中旬升级
分布式媒体应用DistributedMediaApplication(DMA)受影响6.0.1_P2_HF1/6.1.1_P1_HF1已修复
录制与流媒体服务器RecordingandStreamingServer4000受影响升级日期未知
视频边界代理VideoBorderProxy(VBP)受影响11.2.19已修复
资源管理器RealPresenceResourceManager(RPRM)受影响v8.3已修复
资源管理器虚拟版ResourceManagerVirtualEdition受影响v8.3已修复
协作服务器CollaborationServer1800/VirtualEdition受影响v8.4.2已修复
访问网关RealPresenceAccessDirector受影响v4.1.0已修复
平台管理PlatformDirector受影响升级日期未知
CSS网关与服务器CSSGateway&Server受影响计划12月升级
捕获服务器CaptureServer受影响待定
2.2不受影响产品(经官方确认安全)
产品类别具体型号/版本
MCU平台RMX4000、RMX2000、RMX1500、RMX1000、RMX500
会议管理CMA(所有版本)、MediaManager(所有版本)、CMAD(CMADesktop)
会议室终端Group系列、HDX系列、CX系列、VSX系列(含V700/V500)、ViewStation系列、PTC系列
个人终端RealPresenceDesktop(所有版本)、RealPresenceMobile(所有版本)
IP电话VVX系列(含视频/非视频)、SoundPoint系列、SoundStation系列
沉浸式远真OTX、RPX系列
音频处理SoundStructure
MGC系列MGCFamily
录制服务器RSS2000
特别说明:RMX4000/2000/1500等核心MCU平台不受Shellshock影响,但如部署环境存在其他Bash相关漏洞(如CVE-2014-7169、CVE-2014-7186等),仍建议按厂商最新指导完成全面加固。
三、各攻击向量的防护建议
3.1HTTP(Web管理)防护
措施说明
启用白名单在支持的Poly产品上启用Web管理白名单功能,仅允许可信IP访问
网络隔离将所有HTTP流量限制在可信管理网段内
禁用Web管理如现场条件允许,可完全关闭Web管理界面(仅通过串口/SSH管理)
3.2SSH防护
措施说明
禁用Shell访问如无必要,直接关闭SSHShell访问功能
白名单+网络隔离与HTTP类似,限制SSH仅来自可信管理网段
使用静态IP避免DHCP客户端被恶意利用
3.3DHCP防护
措施说明
使用静态IP地址在所有受影响的基础设施设备上禁用DHCP,配置静态IP地址
确保DHCP服务器可信通过网络安全控制确保网络中唯一的DHCP服务器是可信的
文档特别建议:基础设施产品使用静态IP地址本身就是良好的安全实践。
3.4SIP防护
措施说明
启用SIP认证将所有SIP客户端与已知身份关联
网络入侵检测部署IDS/IPS监控SIP流量异常行为
访问控制列表配置网络ACL实现SIP流量黑白名单
SIP网络隔离将SIP信令网络与数据网络分离
使用H.323替代在可行情况下,可使用H.323协议替代SIP通信
四、对普利华客户的价值
4.1当前维护建议
对于使用Poly视频会议系统的客户(尤其是DMA、RPRM、协作服务器等基础设施),建议:
行动项说明
确认固件版本检查DMA/RPRM/RMX管理平台等设备的当前固件版本,对照官方修复版本(如DMA需升级至6.0.1_P2_HF1或6.1.1_P1_HF1,RPRM需升级至8.3)
升级至修复版本如低于修复版本,建议安排升级。对于已停止支持的旧型号,评估迁移至新版虚拟化部署方案
加固配置在无法升级的设备上,按文档建议关闭SSHShell、启用管理白名单、使用静态IP
网络隔离确保管理网络与业务网络分离,限制管理端口访问范围
全面安全策略建议结合《等保2.0》或ISO27001标准,对视频会议系统进行全面安全评估和加固
4.2普利华可提供的服务
深圳市普利华通讯设备有限公司作为Poly专业服务商,可提供:
✅固件版本核查:远程/现场检查DMA、RPRM、协作服务器等设备的当前固件版本
✅安全加固实施:按官方指南完成白名单配置、SSH加固、SIP安全策略配置
✅升级方案制定:针对受影响设备提供升级路径规划与实施服务
✅网络架构优化:协助规划管理网络与业务网络隔离方案
✅国产替代方案:对于已停止支持的旧型号,提供华为/科达等国产MCU及会议管理平台替代方案建议
五、结论
Shellshock漏洞影响Poly的DMA、RPRM、协作服务器等基础设施产品,不影响RMXMCU、Group终端等核心音视频设备。
官方已为DMA、RPRM、VBP、协作服务器等主要受影响产品提供了修复版本。
对于无法立即升级的客户,可通过禁用SSHShell、启用管理白名单、使用静态IP、网络隔离等措施有效降低风险。
RMX4000/2000等MCU平台经官方确认不受Shellshock漏洞影响,但在安全检查时可一并确认其Bash版本是否存在其他已知风险。
📞如有设备需核查或加固,可联系普利华提供技术支持。
对接人:黄经理|13414458918
