NUUO网络视频摄录机Peekaboo漏洞：CVE-2018-1149、CVE-2018-1150

Tenable研究任意在NUUO网络视频摄录软件中一共发现两个漏洞，一个非认证的栈缓存溢出漏洞Peekaboo和遗留的调试代码中的一个后门。

· 攻击者利用NUUO的NVRMini2软件中的Peekaboo漏洞可以完全控制所在系统。

· Web服务易受栈缓存溢出的影响，非认证的攻击者可以远程利用该漏洞。

· 攻击者利用漏洞可以完全控制系统，并拥有摄像头流和录像的完全控制许可权。而且连接到摄像头的凭证可以明文读取。

NUUO是一家提供CCTV、监控和视频软、硬件的公司。NUUO软件和是被常用于基于web的视频监控，广泛应用于零售、交通、教育、政府和银行。受影响的NVRMini2是严重网络硬盘设备和网络视频录像机，可以同时进行多路摄像头视频观看和录像。

CVE-2018-1149: Peekaboo

分析

研究任意发现一个非认证的栈缓存溢出漏洞，利用该漏洞可以远程执行任意代码。该漏洞的CVSSv2 Base评分为10，Temporal评分为8.6，属于高危漏洞。

NVRMini2使用的是开源的web服务器，通过网关界面（common gateway interface ，CGI）协议来执行任意的可执行二进制文件。其中一个可以在NVRMini2上执行的CGI二进制文件是cgi_system，可以通过http://x.x.x.x/cgi-bin/cgi_system访问，该二进制文件可以需要用户认证的命令和动作。

但是在认证过程中，并不会检查cookie参数的session ID大小，这就会导致sprintf函数的栈缓存溢出。该漏洞允许以root或管理许可权进行远程代码执行。

POC

研究人员Jacob Baines开发了POC代码来证明如何利用漏洞来接管NVRMini2和操作连接的摄像头。

POC地址：https://github.com/tenable/poc/tree/master/nuuo/nvrmini2

CVE-2018-1150：后门

除此之外，研究人员还在遗留的调试代码中发现一个后门：

if (file_exists(constant("MOSES_FILE"))) //back door

{

update_session();

return 0;

}

如果存在文件/tmp/moses，说明后门文件已经开启了。改后门允许列出系统上所有的用户账户，而且任何人都可以修改任意账户的密码。这样攻击者就可以查看摄像头的源，查看CCTV录像，甚至从系统中完全删除一个摄像头。

该漏洞评定的等级为medium。

研究人员暂时还不能确定这段代码是开发过程中遗留的还是恶意添加的。要激活和使用该后门，需要创建/tmp/moses文件，所以攻击可能需要一定的访问许可权或融入到其他漏洞利用中。因为代码中没有任何的混淆，研究人员非常好奇这是为什么。可能确实是开发人员调试过程中留下的。

影响范围

NUUO是全球视频监控行业的领军企业，在全球有超过10万的安装量。其软件也融入到许多第三方的监控系统中。因为NVRMini2实例最大可以管理16个连接的CCTV摄像头，因为间接影响的设备也非常多。

远程代码执行漏洞是最大的问题，一旦被利用，网络攻击者就可以访问控制管理系统（control management system，CMS），并暴露所有连接的CCTV摄像头的凭证。如果攻击者使用root许可权访问NVRMini2设备，就可以断开所有在线数据流。比如，用监控区域的静态图像替换实时数据流，犯罪分子可以在不被检测到的情况下进入摄像头的监控范围。

root@NVR:/NUUO/bin# cat /mtd/block4/NUUO/etc/camera.ini

[Camera01]

CameraAuto=0

ShowModelName=M3044-V

MacAddress=

OutputPinCount=0

InputPinCount=0

ManufacturerName=Axis

BrandName=Axis

Protocol=3

Channel=1

ModelName=M3044-V

Manufacturer=

Brand=

Password=password1

UserName=root

Port=80

HostIP=192.168.1.183

CameraName=AXIS

暴露CCTV摄像头凭证

攻击单元目前主要攻击CCTV NVR和摄像头，比如Mirai和GafGyt恶意软件家族主要入侵IoT设备。NUUO NVR设备也是Reaper IoT僵尸网络的攻击目标。

解决方案

NUUO称补丁目前正在开发中。研究人员建议受影响的终端设备限制和控制都有漏洞的设备的网络访问许可权，只允许授权和合法的用户进行访问。