工业和物联网网络安全公司Nozomi Networks研究人员发现一个严重缺陷,该缺陷影响了Annke生产的视频监控产品。
Annke是一家广受欢迎的监控系统和解决方案制造商,产品不但可以用于家庭也可以为企业提供服务。该漏洞编号为 CVE-2021-32941。
Annke生产各种IP摄像头、NVR和配件,但研究人员将他们的分析重点放在N48PBB、NVR设备上,该设备允许客户查看和记录多达8台以太网供电(PoE) IP安全摄像头的视频。
N48PBB NVR公开了一个 Web 应用程序,允许与设备和连接的摄像机进行交互。该设备允许客户观看实时视频流、管理摄像机和存储摄像机捕获的视频。
“Nozomi网络实验室发现了一个严重的远程代码执行(RCE)漏洞(CVE-2021-32941),该漏洞与Annke N48PBB网络视频录像机(NVR)的web服务有关。
作为与ICS-CERT(发布了ICSA-21-238-02咨询)和供应商Annke(发布了修复该问题的固件)协调披露的一部分,这一信息正在被共享。
在Nozomi发布的安全建议中写道:利用该漏洞可能会导致设备本身以及存储在其中的数据的机密性、完整性和可用性丧失。结果可能包括员工隐私的丢失、使其宝贵资产不再有机密性或NVR随意关闭。
该漏洞是基于堆栈的缓冲区溢出,影响Annke N48PBB网络录像机(NVR)的Web服务,攻击者可以触发它远程执行任意代码并访问敏感信息。该问题可能允许攻击者访问录制的视频、删除镜头、更改配置和关闭某些摄像头。
Nozomi研究人员注意到,设备的Web界面允许在设备上启用SSH服务,该服务提供对有限数量命令的访问。专家对固件进行了逆向工程,以实现完全不受限制的SSH访问。专家首先通过物理连接到设备的板载内存来提取设备的固件,然后对其进行修改以禁用所有SSH限制并添加几个调试工具。在该过程结束时,固件被重写到设备的内存中。
安科N48PBB的主板
专家指出,利用该漏洞需要身份验证,但攻击者可以使用跨站请求伪造(CSRF)攻击。攻击者可以欺骗登录用户、操作员或管理员,在登录NVR的管理界面时访问一个专门制作的网页。
此外,由于在功能中没有发现反CSRF(跨站点请求伪造)缓解措施,因此外部攻击者可以通过“驱动下载”攻击间接利用该漏洞。管理员、操作员或用户在登录到设备的Web 界面的同时浏览专门制作的网页,就可能会导致在设备上执行恶意代码。
CVE-2021-32941的CVSS v3基础分数为9.4。
美国网络安全和基础设施安全局 (CISA) 也发布了有关此漏洞的安全公告。CISA 发布的安全公告中表示,受影响的产品容易受到基于堆栈的缓冲区溢出的影响,这允许未经授权的远程攻击者以与服务器用户(root)相同的特权执行任意代码。CISA发布的安全建议中写道。
Annke在7月22日通过固件更新解决了这一问题。Nozomi Networks也已经发布了其威胁情报服务的特定更新,以检测和阻止试图利用该漏洞的攻击。
软件安全漏洞往往给企业带来意想不到的网络攻击,这些“潜伏”在软件中的漏洞为黑客提供了破坏网络及数据的“捷径”。数据显示,90%以上的网络安全问题是由软件自身安全漏洞被利用导致的,不难看出,安全漏洞大大增加了网络系统遭到攻击的风险。然而,通过安全可信的自动化静态代码检测工具就能有效减少30-70%的安全漏洞!诸如缓冲区溢出漏洞、注入漏洞及XSS等,更是可以在不运行代码的情况下就能检测出来。此外静态代码检测有助于开发人员第一时间发现并修正代码缺陷,这将为开发人员节省大量时间,同时也能降低企业维护安全问题的成本。
参读链接:
