安科视频监控产品中的远程代码执行漏洞允许黑客入侵设备

soasme 发布于2021-09-01 10:30 / 2570人阅读

摘要：发布的安全公告中表示，受影响的产品容易受到基于堆栈的缓冲区溢出的影响，这允许未经授权的远程攻击者以与服务器用户相同的特权执行任意代码。

.markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body%20h1,.markdown-body%20h2,.markdown-body%20h3,.markdown-body%20h4,.markdown-body%20h5,.markdown-body%20h6{line-height:1.5;margin-top:35px;margin-bottom:10px;padding-bottom:5px}.markdown-body%20h1{font-size:30px;margin-bottom:5px}.markdown-body%20h2{padding-bottom:12px;font-size:24px;border-bottom:1px%20solid%20#ececec}.markdown-body%20h3{font-size:18px;padding-bottom:0}.markdown-body%20h4{font-size:16px}.markdown-body%20h5{font-size:15px}.markdown-body%20h6{margin-top:5px}.markdown-body%20p{line-height:inherit;margin-top:22px;margin-bottom:22px}.markdown-body%20img{max-width:100%}.markdown-body%20hr{border:none;border-top:1px%20solid%20#ffffd;margin-top:32px;margin-bottom:32px}.markdown-body%20code{word-break:break-word;border-radius:2px;overflow-x:auto;background-color:#fff5f5;color:#ff502c;font-size:.87em;padding:.065em%20.4em}.markdown-body%20code,.markdown-body%20pre{font-family:Menlo,Monaco,Consolas,Courier%20New,monospace}.markdown-body%20pre{overflow:auto;position:relative;line-height:1.75}.markdown-body%20pre>code{font-size:12px;padding:15px%2012px;margin:0;word-break:normal;display:block;overflow-x:auto;color:#333;background:#f8f8f8}.markdown-body%20a{text-decoration:none;color:#0269c8;border-bottom:1px%20solid%20#d1e9ff}.markdown-body%20a:active,.markdown-body%20a:hover{color:#275b8c}.markdown-body%20table{display:inline-block!important;font-size:12px;width:auto;max-width:100%;overflow:auto;border:1px%20solid%20#f6f6f6}.markdown-body%20thead{background:#f6f6f6;color:#000;text-align:left}.markdown-body%20tr:nth-child(2n){background-color:#fcfcfc}.markdown-body%20td,.markdown-body%20th{padding:12px%207px;line-height:24px}.markdown-body%20td{min-width:120px}.markdown-body%20blockquote{color:#666;padding:1px%2023px;margin:22px%200;border-left:4px%20solid%20#cbcbcb;background-color:#f8f8f8}.markdown-body%20blockquote:after{display:block;content:""}.markdown-body%20blockquote>p{margin:10px%200}.markdown-body%20ol,.markdown-body%20ul{padding-left:28px}.markdown-body%20ol%20li,.markdown-body%20ul%20li{margin-bottom:0;list-style:inherit}.markdown-body%20ol%20li%20.task-list-item,.markdown-body%20ul%20li%20.task-list-item{list-style:none}.markdown-body%20ol%20li%20.task-list-item%20ol,.markdown-body%20ol%20li%20.task-list-item%20ul,.markdown-body%20ul%20li%20.task-list-item%20ol,.markdown-body%20ul%20li%20.task-list-item%20ul{margin-top:0}.markdown-body%20ol%20ol,.markdown-body%20ol%20ul,.markdown-body%20ul%20ol,.markdown-body%20ul%20ul{margin-top:3px}.markdown-body%20ol%20li{padding-left:6px}.markdown-body%20.contains-task-list{padding-left:0}.markdown-body%20.task-list-item{list-style:none}@media%20(max-width:720px){.markdown-body%20h1{font-size:24px}.markdown-body%20h2{font-size:20px}.markdown-body%20h3{font-size:18px}}

工业和物联网网络安全公司Nozomi%20Networks研究人员发现一个严重缺陷，该缺陷影响了Annke生产的视频监控产品。

Annke是一家广受欢迎的监控系统和解决方案制造商，产品不但可以用于家庭也可以为企业提供服务。该漏洞编号为%20CVE-2021-32941。

Annke生产各种IP摄像头、NVR和配件，但研究人员将他们的分析重点放在N48PBB、NVR设备上，该设备允许客户查看和记录多达8台以太网供电(PoE)%20IP安全摄像头的视频。

N48PBB%20NVR公开了一个%20Web%20应用程序，允许与设备和连接的摄像机进行交互。该设备允许客户观看实时视频流、管理摄像机和存储摄像机捕获的视频。

“Nozomi网络实验室发现了一个严重的远程代码执行(RCE)漏洞(CVE-2021-32941)，该漏洞与Annke%20N48PBB网络视频录像机(NVR)的web服务有关。

作为与ICS-CERT(发布了ICSA-21-238-02咨询)和供应商Annke(发布了修复该问题的固件)协调披露的一部分，这一信息正在被共享。

在Nozomi发布的安全建议中写道：利用该漏洞可能会导致设备本身以及存储在其中的数据的机密性、完整性和可用性丧失。结果可能包括员工隐私的丢失、使其宝贵资产不再有机密性或NVR随意关闭。

该漏洞是基于堆栈的缓冲区溢出，影响Annke%20N48PBB网络录像机(NVR)的Web服务，攻击者可以触发它远程执行任意代码并访问敏感信息。该问题可能允许攻击者访问录制的视频、删除镜头、更改配置和关闭某些摄像头。

Nozomi研究人员注意到，设备的Web界面允许在设备上启用SSH服务，该服务提供对有限数量命令的访问。专家对固件进行了逆向工程，以实现完全不受限制的SSH访问。专家首先通过物理连接到设备的板载内存来提取设备的固件，然后对其进行修改以禁用所有SSH限制并添加几个调试工具。在该过程结束时，固件被重写到设备的内存中。

安科N48PBB的主板

专家指出，利用该漏洞需要身份验证，但攻击者可以使用跨站请求伪造(CSRF)攻击。攻击者可以欺骗登录用户、操作员或管理员，在登录NVR的管理界面时访问一个专门制作的网页。

此外，由于在功能中没有发现反CSRF(跨站点请求伪造)缓解措施，因此外部攻击者可以通过“驱动下载”攻击间接利用该漏洞。管理员、操作员或用户在登录到设备的Web 界面的同时浏览专门制作的网页，就可能会导致在设备上执行恶意代码。

CVE-2021-32941的CVSS v3基础分数为9.4。

美国网络安全和基础设施安全局 (CISA) 也发布了有关此漏洞的安全公告。CISA 发布的安全公告中表示，受影响的产品容易受到基于堆栈的缓冲区溢出的影响，这允许未经授权的远程攻击者以与服务器用户(root)相同的特权执行任意代码。CISA发布的安全建议中写道。

Annke在7月22日通过固件更新解决了这一问题。Nozomi Networks也已经发布了其威胁情报服务的特定更新，以检测和阻止试图利用该漏洞的攻击。

软件安全漏洞往往给企业带来意想不到的网络攻击，这些“潜伏”在软件中的漏洞为黑客提供了破坏网络及数据的“捷径”。数据显示，90%以上的网络安全问题是由软件自身安全漏洞被利用导致的，不难看出，安全漏洞大大增加了网络系统遭到攻击的风险。然而，通过安全可信的自动化静态代码检测工具就能有效减少30-70%的安全漏洞!诸如缓冲区溢出漏洞、注入漏洞及XSS等，更是可以在不运行代码的情况下就能检测出来。此外静态代码检测有助于开发人员第一时间发现并修正代码缺陷，这将为开发人员节省大量时间，同时也能降低企业维护安全问题的成本。

参读链接：

www.woocoom.com/b021.html?i…

securityaffairs.co/wordpress/1…

GPU云服务器云服务器安科视频监控产品中的远程代码执行漏洞允许阿里云服务器远程代码执行高危黑客入侵黑客入侵Windows

文章版权归作者所有，未经允许请勿转载,若此文章存在违规行为，您可以联系管理员删除。

转载请注明本文地址：https://www.ucloud.cn/yun/118672.html

2018先知白帽大会 | 议题解读

摘要：摘要今年的先知白帽大会，与会者将能够亲身感受到非常多有趣的技术议题，如在国际赛事中屡夺佳绩的团队，其队长将亲临现场，分享穿针引线般的漏洞利用艺术。从数据视角探索安全威胁阿里云安全工程师议题解读本议题讨论了数据为安全人员思维方式带来的变化。摘要：今年的先知白帽大会，与会者将能够亲身感受到非常多有趣的技术议题，如HITCON在国际赛事中屡夺佳绩的CTF团队，其队长Orange将亲临现场...

Hydrogen 2019-06-21 16:46 评论0 收藏0
[PHP] – 性能优化 – Fcgi进程及PHP解析优化（1）

摘要：是否启用安全模式。提示此参数已经没有了关闭危险函数如果打开了安全模式，那么函数禁止是不需要的，但是我们为了安全考虑还是设置。 1、PHP引擎缓存加速常见四种软件：1.eAccelerator2.Zendcache3.xcache4.apc5.zendopcache php5.5自带2、使用tmpfs作为缓存加速缓存的文件目录[root@web02 ~]# mount -t tmpfs ...

zhaot 2019-08-06 13:32 评论0 收藏0