RMX4000/2000等MCU平台经官方确认不受Shellshock漏洞影响

pulihua2026-07-152

这份HP官方安全公告(编号PLYGNA14-03)核心是解决2014年爆发、被称为“Shellshock”(破壳)的GNUBash远程代码执行漏洞(CVE-2014-6271等)。该漏洞影响所有使用Bash作为默认shell的Linux/Unix系统,攻击者可通过环境变量注入执行恶意代码,对视频会议系统构成严重安全威胁。

该文档是针对Polycom(现HPPoly)全系列产品的官方漏洞影响评估与修复指南,核心目标是帮助用户识别哪些设备受影响,并指导如何规避风险。

一、漏洞核心影响

“Shellshock”可通过四个主要攻击向量被利用:

攻击向量说明

HTTP(CGI)通过操控目标HTTP服务器的CGI调用注入恶意代码

SSH通过SSH登录到BashShell执行恶意命令

DHCP目标DHCP客户端连接到恶意DHCP服务器,触发代码执行

SIP向目标的SIP协议栈插入恶意字符串

文档强调:有效的缓解方案必须结合产品内部修复和部署架构防护,两者缺一不可。

重要提示:该漏洞已于2014年被广泛披露并已发布多年补丁。本文档为历史公告,建议所有在网设备无论是否列于“受影响”列表,均应将固件更新至厂商支持的最新版本,以获取包括早期Bash漏洞在内的全部安全修复。

二、受影响与不受影响产品分类

2.1受影响产品(需升级或加固)

产品类别具体型号/版本漏洞状态已知修复版本

云协作平台CloudAXISExperiencePortal受影响(Bash)计划11月中旬升级

分布式媒体应用DistributedMediaApplication(DMA)受影响6.0.1_P2_HF1/6.1.1_P1_HF1已修复

录制与流媒体服务器RecordingandStreamingServer4000受影响升级日期未知

视频边界代理VideoBorderProxy(VBP)受影响11.2.19已修复

资源管理器RealPresenceResourceManager(RPRM)受影响v8.3已修复

资源管理器虚拟版ResourceManagerVirtualEdition受影响v8.3已修复

协作服务器CollaborationServer1800/VirtualEdition受影响v8.4.2已修复

访问网关RealPresenceAccessDirector受影响v4.1.0已修复

平台管理PlatformDirector受影响升级日期未知

CSS网关与服务器CSSGateway&Server受影响计划12月升级

捕获服务器CaptureServer受影响待定

2.2不受影响产品(经官方确认安全)

产品类别具体型号/版本

MCU平台RMX4000、RMX2000、RMX1500、RMX1000、RMX500

会议管理CMA(所有版本)、MediaManager(所有版本)、CMAD(CMADesktop)

会议室终端Group系列、HDX系列、CX系列、VSX系列(含V700/V500)、ViewStation系列、PTC系列

个人终端RealPresenceDesktop(所有版本)、RealPresenceMobile(所有版本)

IP电话VVX系列(含视频/非视频)、SoundPoint系列、SoundStation系列

沉浸式远真OTX、RPX系列

音频处理SoundStructure

MGC系列MGCFamily

录制服务器RSS2000

特别说明:RMX4000/2000/1500等核心MCU平台不受Shellshock影响,但如部署环境存在其他Bash相关漏洞(如CVE-2014-7169、CVE-2014-7186等),仍建议按厂商最新指导完成全面加固。

三、各攻击向量的防护建议

3.1HTTP(Web管理)防护

措施说明

启用白名单在支持的Poly产品上启用Web管理白名单功能,仅允许可信IP访问

网络隔离将所有HTTP流量限制在可信管理网段内

禁用Web管理如现场条件允许,可完全关闭Web管理界面(仅通过串口/SSH管理)

3.2SSH防护

措施说明

禁用Shell访问如无必要,直接关闭SSHShell访问功能

白名单+网络隔离与HTTP类似,限制SSH仅来自可信管理网段

使用静态IP避免DHCP客户端被恶意利用

3.3DHCP防护

措施说明

使用静态IP地址在所有受影响的基础设施设备上禁用DHCP,配置静态IP地址

确保DHCP服务器可信通过网络安全控制确保网络中唯一的DHCP服务器是可信的

文档特别建议:基础设施产品使用静态IP地址本身就是良好的安全实践。

3.4SIP防护

措施说明

启用SIP认证将所有SIP客户端与已知身份关联

网络入侵检测部署IDS/IPS监控SIP流量异常行为

访问控制列表配置网络ACL实现SIP流量黑白名单

SIP网络隔离将SIP信令网络与数据网络分离

使用H.323替代在可行情况下,可使用H.323协议替代SIP通信

四、对普利华客户的价值

4.1当前维护建议

对于使用Poly视频会议系统的客户(尤其是DMA、RPRM、协作服务器等基础设施),建议:

行动项说明

确认固件版本检查DMA/RPRM/RMX管理平台等设备的当前固件版本,对照官方修复版本(如DMA需升级至6.0.1_P2_HF1或6.1.1_P1_HF1,RPRM需升级至8.3)

升级至修复版本如低于修复版本,建议安排升级。对于已停止支持的旧型号,评估迁移至新版虚拟化部署方案

加固配置在无法升级的设备上,按文档建议关闭SSHShell、启用管理白名单、使用静态IP

网络隔离确保管理网络与业务网络分离,限制管理端口访问范围

全面安全策略建议结合《等保2.0》或ISO27001标准,对视频会议系统进行全面安全评估和加固

4.2普利华可提供的服务

深圳市普利华通讯设备有限公司作为Poly专业服务商,可提供:

✅固件版本核查:远程/现场检查DMA、RPRM、协作服务器等设备的当前固件版本

✅安全加固实施:按官方指南完成白名单配置、SSH加固、SIP安全策略配置

✅升级方案制定:针对受影响设备提供升级路径规划与实施服务

✅网络架构优化:协助规划管理网络与业务网络隔离方案

✅国产替代方案:对于已停止支持的旧型号,提供华为/科达等国产MCU及会议管理平台替代方案建议

五、结论

Shellshock漏洞影响Poly的DMA、RPRM、协作服务器等基础设施产品,不影响RMXMCU、Group终端等核心音视频设备。

官方已为DMA、RPRM、VBP、协作服务器等主要受影响产品提供了修复版本。

对于无法立即升级的客户,可通过禁用SSHShell、启用管理白名单、使用静态IP、网络隔离等措施有效降低风险。

RMX4000/2000等MCU平台经官方确认不受Shellshock漏洞影响,但在安全检查时可一并确认其Bash版本是否存在其他已知风险。

📞如有设备需核查或加固,可联系普利华提供技术支持。

对接人:黄经理|13414458918

相关内容