Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2018-1149] NUUO NVRMini cgi_system RCE 취약점
작성일 2018-09-28 조회 688

 

 

 

 

 

Tenable 에서 NUUO NVRMini2 에 대한 최신 취약점을 공개하였습니다.

 

 

공개 된 취약점은 CVE-2018-1149 , CVE-2018-1150 이 할당 되었으며,

 

취약점과 함께 POC 도 공개되어 확인 가능합니다.
https://github.com/tenable/poc/tree/master/nuuo/nvrmini2

 

 

취약점에 대한 간단한 설명은 다음과 같습니다.

 

 


CVE-2018-1149: Unauthenticated Remote Stack Buffer Overflow


cgi_system 을 통하여 원격 사용자를 인증할 때, PHPSESSID 쿠키에 있는 세션 식별자를 확인하는 구문에서 발생합니다.
세션 식별자 확인 시, 문자열 크기 제한이 존재하지 않고 문자열이 sprintf 로 전달 될때에도 경계값 제한이 존재하지 않습니다.


CVE-2018-1150: Backdoor


공격자에 특정 위치가 존재하는 경우에 인증 없이 계정을 변경 할  수 있습니다.
세션을 확인하는 구문이 부적절하여 발생됩니다.


 

 

NVRMini2 의 인증을 위한 호출 순서를 확인해 보면,


세션 ID 문자열은 어떤 크기로도 제한되지 않습니다. 마찬가지로 문자열이 sprintf 로 전달되어 tmp 파일 이름 을 만들 때 경계 검사가 없습니다.


원격의 인증되지 않은 공격자는 sprintf 에 전달 된 스택 버퍼를 오버플로우 할 수 있게 됩니다.

 

[그림1. 호출 순서, 출처 tenable]

 

 

공개된 POC를 통해 확인해보면 경계값 검사 없이 sprintf 가 사용되는


PHPSESSID 값에 비정상적인 구문을 주입한 후에 원격 실행을 위한 주소값과 commnad를 주입 하는 것을 확인 가능 합니다.

 

[그림2. POC]

 

 

해당 공격에 대한 모니터링 중에 당사 허니넷에서 POC를 이용한 공격 형태를 확인하였습니다.


- POC와 동일한 PHPSESSID를 이용하나 RCE를 위한 주소값이 일부 누락되어 실제 공격은 성공되지 않을것으로 판단 됩니다.

 

[그림3. 허니넷 확인 내역]

 

 

 

허니넷을 통해 확인한 공격자 정보 입니다.

 

185[.]232[.]64[.]161 - 루마니아(RO)

 

 

1개의 IP 에서 지속적으로 NUUO 취약점 및 다수의 취약점을 이용한 공격을 확인하였습니다.
관련 내역은 아래의 블로그 게시글에서 확인 가능합니다.

http://www.wins21.co.kr/blog/blog-sub-01.html?t=31&num=1187

 


해당 취약점을 이용하여 NVR 을 제어 할 수 있을 뿐만 아니라,
연결된 모든 카메라 자격 증명 탈취가 가능하므로 주의하시기 바랍니다.

 

 

 

벤더사 대응 방안

패치 완료

https://www.nuuo.com/NewsDetail.php?id=0425

 


Sniper 제품군 대응 방안

 

IPS

[4470] NUUO NVRMini cgi_system RCE
[4471] NUUO NVRMini cgi_system RCE.A

 

 

UTM

[805374662] NUUO NVRMini cgi_system RCE
[805374663] NUUO NVRMini cgi_system RCE.A

 

 

APTX

[3722] NUUO NVRMini cgi_system RCE
[3723] NUUO NVRMini cgi_system RCE.A

 

 

 

출처

https://www.tenable.com/security/research/tra-2018-25
https://www.exploit-db.com/exploits/45427/
https://github.com/tenable/poc/blob/master/nuuo/nvrmini2/nvrmini2_enable_telnet.py

 

 

첨부파일 첨부파일이 없습니다.
태그 NUUO  NVRMini2  CVE-2018-1149  CVE-2018-1150  cgi_system