首页 > 清静研究 > 清静转达 > 清静通告

NVRMini2摄像头严重误差清静通告

宣布时间 2018-09-21

误差编号和级别

CVE编号：CVE-2018-1149，，，，，，危险级别：严重，，，，，，CVSS分值：厂商自评10，，，，，，官方未评定
CVE编号：CVE-2018-1150，，，，，，危险级别：严重，，，，，，CVSS分值：厂商自评8.3，，，，，，官方未评定

影响版本

NUUO NVRMini2 3.8.0及以下版本

误差概述

Tenable官网上果真了关于由NUUO公司开发的摄像头系统NVRMini2保存两个严重误差。。。
CVE-2018-1149：未经身份验证的远程客栈缓冲区溢出
CVE-2018-1150：后门
NVRMini2的结构简图如下

误差验证

CVE-2018-1149：
NVRMini2系统对外袒露了一个HTTP会见接口http://<target>/cgi-bin/cgi_system，，，，，，通过这个接口，，，，，，具有权限的用户可以会见到终端装备。。。cgi_system文件中的功效只有授权用户可以会见，，，，，，认证的要领为较量用户会见数据Cookie字段中的PHPSESSID值和存储/tmp目录中的session文件名，，，，，，构建session文件名的代码如下：

人生就是博-尊龙凯时中国官网

从sub_534a4返回的值为会话标识字符串。。。程序对该字符串长度没有作任何限制。。。当字符勾转达到sprintf以构建tmp文件名时并没有界线检查。。。因此，，，，，，未经身份验证的攻击者可以将超长的PHPSESSID值远程转达给sprintf导致缓冲区溢出，，，，，，从而远程执行代码。。。
测试代码如下：

人生就是博-尊龙凯时中国官网

测试代码会导致NVR系统会爆发瓦解征象，，，，，，经由深入剖析，，，，，，也可以远程执行代码，，，，，，攻击者不但能够控制NVR，，，，，，还可以会见和修改NVR中所有的用户凭证数据，，，，，，影响严重。。。

CVE-2018-1150：
NVRMini2的PHP代码中常见的习惯为：
检查目今PHP会话是否有用。。。
验证会话是否具有正在会见的页面的适当权限（即admin，，，，，，poweruser，，，，，，user，，，，，，root，，，，，，guest）。。。
可是，，，，，，check_session_is_valid（）函数中却保存后门的代码，，，，，，函数如下：

人生就是博-尊龙凯时中国官网

其中标识为“back door”的字样为其源码中就保存的。。。constant(“MOSES_FILE”) 指向的路径为/tmp/moses。。。若是/tmp/moses/保存，，，，，，则未授权的攻击者可以远程列出所有非admin的用户，，，，，，并修改他们的密码.

攻击演示视频如下：

http://www.iqiyi.com/w_19s2b6hn11.html

修复建议

官方暂时没有相关的计划，，，，，，建议包管装备不袒露在互联网上，，，，，，并在防火墙装备上加入对摄像头HTTP效劳的会见控制战略。。。

参考链接

https://www.tenable.com/security/research/tra-2018-25

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

人生就是博

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系人生就是博

清静研究

NVRMini2摄像头严重误差清静通告

关于人生就是博

解决计划

清静研究

联系人生就是博

7*24小时效劳热线