Une vulnérabilité critique « zero-day » dans l’équipement d’enregistrement vidéo en réseau faite par NUUO a été rendue publique, car un chercheur affirme que des problèmes non corrigés pourraient conduire à l’exécution de code à distance (RCE).
Découvert par Pedro Ribeiro, fondateur de la sécurité de l’information Agileles problèmes seraient présents dans l’appareil NUUO NVRmini2 depuis 2016.
NVRmini2 est un enregistreur vidéo réseau (NVR) du fournisseur taïwanais NUU capable d’enregistrer et de stocker des séquences de sécurité au format numérique.
Ribeiro prétend qu’il a divulgué vulnérabilités d’injection de commande et de débordement de pile dans NVRmini2 il y a six ans. À l’époque, Ribeiro a déclaré que le produit avait une « sécurité terrible » – et si ses affirmations sont vraies, alors rien n’a changé pour le mieux.
« Les deux vulnérabilités divulguées ont été découvertes lors de mon audit de 2016 », a déclaré Ribeiro La gorgée quotidienne. « Cependant, à l’époque, j’ai trouvé tellement d’autres vulnérabilités que j’ai en fait oublié de les signaler – jusqu’en 2019, lorsque j’ai redécouvert mes notes et que je leur ai signalé. »
Problèmes non corrigés
Comme documenté sur GitHub, il existe apparemment deux vulnérabilités non corrigées. Le premier, qui n’a pas encore été attribué à un CVE mais considéré comme critique, est une méthode d’authentification manquante sur une fonction critique du firmware NVRmini2.
Le handle_import_user.php La fonction pour chaque version du micrologiciel jusqu’à la dernière version incluse manque de protections adéquates pour empêcher les utilisateurs non authentifiés d’accéder au script, affirme Ribeiro.
La deuxième vulnérabilité présumée est l’utilisation d’une version héritée de BusyBox, un package d’utilitaires Unix. Cette version est affectée par une série de bogues, notamment CVE-2011-5325une faille de traversée de chemin qui permet aux attaquants distants de pointer vers des fichiers en dehors du répertoire de travail actuel.
En abusant du mécanisme HTTP POST et en créant des archives tar malveillantes, il est possible d’enchaîner les vulnérabilités afin de déposer un webshell et d’exécuter des commandes en tant que root, explique Ribeiro.
TU POURRAIS AUSSI AIMER Lancement d’une alerte de bogue pour fournir un système d’alerte précoce pour les vulnérabilités super critiques du jour zéro
En plus de la divulgation, le chercheur a publié un module Metasploit qui regroupe la chaîne de vulnérabilité décrite dans l’avis.
On dit que le code Proof-of-Concept (PoC) fonctionne sur la plupart des versions de firmware à l’exception de celles antérieures à la version 2.0.0 – bien que des techniques alternatives puissent être utilisées sur les versions logicielles héritées.
Au moment de la rédaction, les vulnérabilités restent non corrigées sur la dernière version du micrologiciel, v.03.11.0000.0016, bien que le chercheur affirme avoir fait plusieurs tentatives pour les divulguer. Aucun correctif officiel n’est disponible.
Atténuation des risques
Le chercheur recommande aux propriétaires d’appareils NVRmini2 d’éloigner leurs produits des réseaux non fiables afin d’atténuer le risque d’exploitation.
En dehors de cela, en utilisant le propre exploit de Ribeiro et en supprimant le handle_import.user.php La fonction peut résoudre le problème, mais cela n’est pas garanti.
« Pendant le processus de divulgation, même après plusieurs tentatives, ils ne semblaient pas vraiment comprendre la vulnérabilité », a commenté Ribeiro.
«Nous leur avons expliqué plusieurs fois et ils semblaient complètement ignorants. Ils étaient assez gentils et agréables à gérer en termes de manières et de la façon dont ils nous traitaient, mais techniquement ignorants.
La gorgée quotidienne a contacté NUUO pour commentaires mais n’a pas eu de réponse au moment de la publication. Nous mettrons à jour cet article au fur et à mesure de nos retours.