Összefoglaló
Az NUUO és Netgear hálózati videófelvevő (NVR) termékek sérülékenységei váltak ismertté, amelyeket kihasználva a támadó tetszőleges kódot futtathat a rendszeren. A sérülékenységeket kiküszöbölő megoldás még nem szerezhető be a gyártótól.
Leírás
Ezek az linux alapú NVR videófelvevő rendszerek kamerákat menedzselnek és világszerte számos közintézményben (pl. bankok) megtalálhatóak, illetve ezeknek az eszközöknek a gyártója szállítja a NETGEAR ReadyNAS-ok NVR alkalmazását is.
Az érintett eszközök web interfészei több kritikus sérülékenységet tartalmaznak:
- beégetett felhasználói fiók,
- rosszul megtisztított bemenet,
- puffer túlcsordulás.
A támadó a NUUO eszközökön egy nem bejelentkezett távoli felhasználóként, a NETGEAR esetében pedig admin-ként tetszőleges kódfuttatásra (root) használhatja ki a fenti sérülékenységeket.
Megoldás
IsmeretlenMegoldás
Kizárólag megbízható forrásokból engedélyezze a külső kapcsolatokat.
Támadás típusa
execute arbitrary codeHatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.kb.cert.org
Egyéb referencia: raw.githubusercontent.com
CVE-2016-5674 - NVD CVE-2016-5674
CVE-2016-5675 - NVD CVE-2016-5675
CVE-2016-5676 - NVD CVE-2016-5676
CVE-2016-5677 - NVD CVE-2016-5677
CVE-2016-5678 - NVD CVE-2016-5678
CVE-2016-5679 - NVD CVE-2016-5679
CVE-2016-5680 - NVD CVE-2016-5680