公開日:2016/08/08 最終更新日:2016/08/08
JVNVU#97220922
NUUO および Netgear の Network Video Recorder (NVR) 製品のウェブインターフェースに複数の脆弱性
NUUO 社の NVRmini 2、NVRsolo、Crystal、および Netgear 社の ReadyNAS Surveillance 製品のウェブインターフェースには複数の脆弱性があります。
- Netgear ReadyNAS Surveillance
- NUUO NVRmini 2, NVRsolo, Crystal
NUUO 社の NVRmini 2、NVRsolo、Crystal および Netgear 社の ReadyNAS Surveillance は、NAS 機能を持った Network Video Recording (NVR) システムです。これらの製品のウェブインターフェースには複数の脆弱性があります。
不適切な入力確認 (CWE-20) - CVE-2016-5674
当該製品のウェブインターフェースには、隠しページ __debugging_center_utils__.php が存在します。このページのパラメータ log の値は PHP 関数 system() に渡されますが、その値の検証処理は適切に行われていません。
遠隔の第三者が細工した URL を送りつけることで、root 権限で任意のコードを実行させることが可能です。
http://<IP>/__debugging_center_utils___.php?log=something%3b<payload>
不適切な入力確認 (CWE-20) - CVE-2016-5675
ページ
handle_daylightsaving.php のパラメータ NTPServer の値は PHP 関数 system() に渡されますが、その値の検証処理は適切に行われていません。当該製品にログインしたユーザは root 権限で任意のコードを実行することが可能です。
http://<IP>/handle_daylightsaving.php?act=update&NTPServer=something%3b<payload>
- NUUO NVRmini 2 バージョン 1.7.5 から 3.0.0
- NUUO NVRsolo バージョン 1.0.0 から 3.0.0
- NUUO Crystal バージョン 2.2.1 から 3.2.0
- ReadyNAS Surveillance, x86 版および ARM 版 バージョン 1.1.1 から 1.4.1
当該製品に含まれる実行ファイル
cgi_system は、ウェブインターフェースから直接実行させることが可能です。例えば、以下のリクエストにより管理者アカウントのパスワードをリセットすることが可能です。
http://<IP>/cgi-bin/cgi_system?cmd=loaddefconfig
- NUUO NVRmini 2 および NVRsolo バージョン 1.7.5 およびそれ以降 (バージョン 2.2.1 およびバージョン 3.0.0 では認証が必要)
- ReadyNAS surveillance, x86 版および ARM 版 バージョン 1.1.1 から 1.4.1
隠しページ
__nvr_status___.php は、ハードコードされた認証情報 nuuoeng:qwe23622260 を使ってアクセスでき、システムに関する情報を取得することが可能です。報告者は、次の製品でこの問題を確認しています。
- NUUO NVRmini 2 バージョン 1.7.5 から 3.0.0 まで
- NUUO NVRsolo バージョン 1.0.0 から 3.0.0 まで
- ReadyNAS Surveillance x86 版および ARM 版 バージョン 1.1.1 から v1.4.1 まで
報告者によれば、NUUO NVRmini 2 および NVRsolo (バージョン 1.0.0 から 3.0.0) には認証情報がハードコードされています。この認証情報を知っていれば、root 権限でログインすることが可能です。
OS コマンドインジェクション (CWE-78) - CVE-2016-5679
cgi_main の transfer_license コマンドで指定するパラメータ sn は適切な検証処理が行われていません。当該製品にログインしたユーザが細工したリクエストを送ることで、任意のコマンドを実行する可能性があります。
http://<IP>/cgi-bin/cgi_main?cmd=transfer_license&method=offline&sn=";<command>;#
スタックベースのバッファオーバーフロー (CWE-121) - CVE-2016-5680
cgi_main の transfer_license コマンドで指定するパラメータ sn の処理にはスタックベースのバッファオーバーフローの脆弱性が存在します。当該製品にログインしたユーザが細工したリクエストを送ることで、任意のコードを実行する可能性があります。
http://<IP>/cgi-bin/cgi_main?cmd=transfer_license&method=offline&sn=<payload>
詳細な情報については、報告者 Pedro Ribeiro 氏が公開している情報を参照してください。
細工されたリクエストを処理することで、root 権限で任意のコマンドを実行させられる可能性があります。
2016年8月8日現在、対策方法は不明です。
-
CERT/CC Vulnerability Note VU#856152
NUUO and Netgear Network Video Recorder (NVR) products web interfaces contain multiple vulnerabilities -
GitHub - pedrib / PoC / advisories
nuuo-nvr-vulns.txt
CVSS v3
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
基本値:
9.8
| 攻撃元区分(AV) | 物理 (P) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 低 (L) | ||
| 必要な特権レベル(PR) | 高 (H) | 低 (L) | 不要 (N) | |
| ユーザ関与レベル(UI) | 要 (R) | 不要 (N) | ||
| スコープ(S) | 変更なし (U) | 変更あり (C) | ||
| 機密性への影響(C) | なし (N) | 低 (L) | 高 (H) | |
| 完全性への影響(I) | なし (N) | 低 (L) | 高 (H) | |
| 可用性への影響(A) | なし (N) | 低 (L) | 高 (H) |
CVSS v2
AV:N/AC:L/Au:N/C:C/I:C/A:C
基本値:
10.0
| 攻撃元区分(AV) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 中 (M) | 低 (L) |
| 攻撃前の認証要否(Au) | 複数 (M) | 単一 (S) | 不要 (N) |
| 機密性への影響(C) | なし (N) | 部分的 (P) | 全面的 (C) |
| 完全性への影響(I) | なし (N) | 部分的 (P) | 全面的 (C) |
| 可用性への影響(A) | なし (N) | 部分的 (P) | 全面的 (C) |
分析結果のコメント
この CVSS は CVE-2016-5674 について評価したものです。
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2016-5674 |
|
CVE-2016-5675 |
|
|
CVE-2016-5676 |
|
|
CVE-2016-5677 |
|
|
CVE-2016-5678 |
|
|
CVE-2016-5679 |
|
|
CVE-2016-5680 |
|
| JVN iPedia |
|
