GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】Annke NVR远程代码执行缝隙 (CVE-2021-32941)

颁布功夫 2021-08-30

0x00 缝隙概述

CVE ID	CVE-2021-32941	时间	2021-08-30
类型	RCE	等级	严沉
远程利用	是	影响领域
攻击复杂度	低	可用性	高
用户交互	无	所需权限	无
PoC/EXP		在野利用

0x01 缝隙详情

Annke 是一家受迎接的监控系统和解决规划造作商，其产品辐射全球30多个国度和地域，一跃成为北美、欧洲多国、澳洲等在线市场驰名品牌。它扭转了千万用户对家居安防的使用履历，全球活跃用户数量达3000万。

2021年8月26日，CISA颁布安全布告，公开了在Annke Network Video Recorder（NVR）中发现的一个远程代码执行缝隙（CVE-2021-32941），其CVSSv3评分为9.4。

NVR是任何联网安全摄像机系统的一个沉要组成部门，它们被设计用来捉拿、存储和治理来自IP摄像头的传入视频源。该缝隙是Annke N48PBB（NVR）中基于仓库的缓冲区溢露马脚，未经身份验证的远程攻击者能够利用此缝隙接见敏感信息并以root权限执行肆意代码。攻击者能够利用此缝隙接见录造的视频、删除镜头、更改配置和关关某些摄像机等。

影响领域

N48PBB (NVR) <= V3.4.106 build 200422

0x02 措置建议

目前此缝隙已经建复，建议实时升级更新到最新版本。

下载链接：

https://www.annke.com/pages/download-center

通用安全建议

l 尽量削减所有节造系统设备或系统的网络露出情况，并确保它们不能从互联网接见。

l 将节造系统网络和远程设备置于防火墙之后，并将其与贸易网络隔离。

l 当必要远程接见时使用安全的步骤，如虚构专用网络（VPN），并确保VPN是最新版本。

0x03 参考链接

https://us-cert.cisa.gov/ics/advisories/icsa-21-238-02

https://www.nozominetworks.com/blog/new-annke-vulnerability-shows-risks-of-iot-security-camera-systems/

https://www.infosecurity-magazine.com/news/critical-iot-camera-flaw-allows/

0x04 更新版本

版本	日期	批改内容
V1.0	2021-08-30	初次颁布

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

NVD：nvd.nist.gov

CVSS：www.first.org

0x06 关于GA黄金甲

关注以下公家号，获取更多资讯：

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】