首页 > 安全钻研 > 安全传递 > 安全公告

NVRMini2摄像头严沉缝隙安全公告

颁布功夫 2018-09-21

缝隙编号和级别

CVE编号：CVE-2018-1149，危险级别：严沉，CVSS分值：厂商自评10，官方未评定
CVE编号：CVE-2018-1150，危险级别：严沉，CVSS分值：厂商自评8.3，官方未评定

影响版本

NUUO NVRMini2 3.8.0及以下版本

缝隙概述

Tenable官网上公开了关于由NUUO公司开发的摄像头系统NVRMini2存在两个严沉缝隙。
CVE-2018-1149：未经身份验证的远程仓库缓冲区溢出
CVE-2018-1150：后门
NVRMini2的结构简图如下

缝隙验证

CVE-2018-1149：
NVRMini2系统对暴露出了一个HTTP接见接口http://<target>/cgi-bin/cgi_system，通过这个接口，拥有权限的用户能够接见到终端设备。cgi_system文件中的职能只有授权用户能够接见，认证的步骤为比力用户接见数据Cookie字段中的PHPSESSID值和存储/tmp目录中的session文件名，构建session文件名的代码如下：

GA黄金甲·(中国区)官方网站

从sub_534a4返回的值为会话标识字符串。法式对该字符串长度没有作任何限度。当字符串传递到sprintf以构建tmp文件名时并没有天堑查抄。因而，未经身份验证的攻击者能够将超长的PHPSESSID值远程传递给sprintf导致缓冲区溢出，从而远程执行代码。
测试代码如下：

GA黄金甲·(中国区)官方网站

测试代码会导致NVR系统会产生崩溃景象，经过深刻分析，也能够远程执行代码，攻击者不仅可能节造NVR，还能够接见和批改NVR中所有的用户凭证数据，影响严沉。

CVE-2018-1150：
NVRMini2的PHP代码中常见的习惯为：
查抄当前PHP会话是否有效。
验证会话是否拥有在接见的页面的适当权限（即admin，poweruser，user，root，guest）。
但是，check_session_is_valid（）函数中却存在后门的代码，函数如下：

GA黄金甲·(中国区)官方网站

其中标识为“back door”的字样为其源码中就存在的。constant(“MOSES_FILE”) 指向的蹊径为/tmp/moses。若是/tmp/moses/存在，则未授权的攻击者能够远程列出所有非admin的用户，并批改他们的密码.

攻击演示视频如下：

http://www.iqiyi.com/w_19s2b6hn11.html

建复建议

官方临时没有有关的规划，建议保障设备不露出在互联网上，并在防火墙设备上参与对摄像头HTTP服务的接见节造战术。

参考链接

https://www.tenable.com/security/research/tra-2018-25

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

NVRMini2摄像头严沉缝隙安全公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线