公開日:2016/08/08 最終更新日:2016/08/08

JVNVU#97220922
NUUO および Netgear の Network Video Recorder (NVR) 製品のウェブインターフェースに複数の脆弱性

概要

NUUO 社の NVRmini 2、NVRsolo、Crystal、および Netgear 社の ReadyNAS Surveillance 製品のウェブインターフェースには複数の脆弱性があります。

影響を受けるシステム

  • Netgear ReadyNAS Surveillance
  • NUUO NVRmini 2, NVRsolo, Crystal
指摘されているバージョンより前のファームウェアや、同じウェブインターフェースを使用している他の製品についても、問題が存在する可能性があります。

詳細情報

NUUO 社の NVRmini 2NVRsoloCrystal および Netgear 社の ReadyNAS Surveillance は、NAS 機能を持った Network Video Recording (NVR) システムです。これらの製品のウェブインターフェースには複数の脆弱性があります。

不適切な入力確認 (CWE-20) - CVE-2016-5674
当該製品のウェブインターフェースには、隠しページ __debugging_center_utils__.php が存在します。このページのパラメータ log の値は PHP 関数 system() に渡されますが、その値の検証処理は適切に行われていません。
遠隔の第三者が細工した URL を送りつけることで、root 権限で任意のコードを実行させることが可能です。

  • http://<IP>/__debugging_center_utils___.php?log=something%3b<payload>
報告者は、NUUO NVRmini2 および NVRsolo (バージョン 1.7.5 から 3.0.0)、ReadyNAS Surveillance x86 版および ARM 版 (バージョン 1.1.1 から 1.4.1) で、この問題を確認しています。

不適切な入力確認 (CWE-20) - CVE-2016-5675
ページ handle_daylightsaving.php のパラメータ NTPServer の値は PHP 関数 system() に渡されますが、その値の検証処理は適切に行われていません。当該製品にログインしたユーザは root 権限で任意のコードを実行することが可能です。
  • http://<IP>/handle_daylightsaving.php?act=update&NTPServer=something%3b<payload>
報告者は、次の製品でこの問題を確認しています。
  • NUUO NVRmini 2 バージョン 1.7.5 から 3.0.0
  • NUUO NVRsolo バージョン 1.0.0 から 3.0.0
  • NUUO Crystal バージョン 2.2.1 から 3.2.0
  • ReadyNAS Surveillance, x86 版および ARM 版 バージョン 1.1.1 から 1.4.1
不適切な認可処理 (CWE-285) - CVE-2016-5676
当該製品に含まれる実行ファイル cgi_system は、ウェブインターフェースから直接実行させることが可能です。
例えば、以下のリクエストにより管理者アカウントのパスワードをリセットすることが可能です。
  • http://<IP>/cgi-bin/cgi_system?cmd=loaddefconfig
報告者は、次の製品でこの問題を確認しています。
  • NUUO NVRmini 2 および NVRsolo バージョン 1.7.5 およびそれ以降 (バージョン 2.2.1 およびバージョン 3.0.0 では認証が必要)
  • ReadyNAS surveillance, x86 版および ARM 版 バージョン 1.1.1 から 1.4.1
情報漏えい (CWE-200) - CVE-2016-5677
隠しページ __nvr_status___.php は、ハードコードされた認証情報 nuuoeng:qwe23622260 を使ってアクセスでき、システムに関する情報を取得することが可能です。
報告者は、次の製品でこの問題を確認しています。
  • NUUO NVRmini 2 バージョン 1.7.5 から 3.0.0 まで
  • NUUO NVRsolo バージョン 1.0.0 から 3.0.0 まで
  • ReadyNAS Surveillance x86 版および ARM 版 バージョン 1.1.1 から v1.4.1 まで
認証情報がハードコードされている問題 (CWE-798) - CVE-2016-5678
報告者によれば、NUUO NVRmini 2 および NVRsolo (バージョン 1.0.0 から 3.0.0) には認証情報がハードコードされています。この認証情報を知っていれば、root 権限でログインすることが可能です。

OS コマンドインジェクション (CWE-78) - CVE-2016-5679
cgi_maintransfer_license コマンドで指定するパラメータ sn は適切な検証処理が行われていません。当該製品にログインしたユーザが細工したリクエストを送ることで、任意のコマンドを実行する可能性があります。
  • http://<IP>/cgi-bin/cgi_main?cmd=transfer_license&method=offline&sn=";<command>;#
報告者は、NUUO NVRmini 2 (バージョン 1.7.6 から 3.0.0) および ReadyNAS Surveillance (バージョン 1.1.2) で、この問題を確認しています。

スタックベースのバッファオーバーフロー (CWE-121) - CVE-2016-5680
cgi_maintransfer_license コマンドで指定するパラメータ sn の処理にはスタックベースのバッファオーバーフローの脆弱性が存在します。当該製品にログインしたユーザが細工したリクエストを送ることで、任意のコードを実行する可能性があります。
  • http://<IP>/cgi-bin/cgi_main?cmd=transfer_license&method=offline&sn=<payload>
報告者は、NUUO NVRmini 2 (バージョン 1.7.6 から 3.0.0) および ReadyNAS Surveillance x86 版 (バージョン 1.1.2) で、この問題を確認しています。

詳細な情報については、報告者 Pedro Ribeiro 氏が公開している情報を参照してください。

想定される影響

細工されたリクエストを処理することで、root 権限で任意のコマンドを実行させられる可能性があります。

対策方法

2016年8月8日現在、対策方法は不明です。

ベンダ情報

参考情報

  1. CERT/CC Vulnerability Note VU#856152
    NUUO and Netgear Network Video Recorder (NVR) products web interfaces contain multiple vulnerabilities
  2. GitHub - pedrib / PoC / advisories
    nuuo-nvr-vulns.txt

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
基本値: 9.8
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:L/Au:N/C:C/I:C/A:C
基本値: 10.0
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

分析結果のコメント

この CVSS は CVE-2016-5674 について評価したものです。

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2016-5674
CVE-2016-5675
CVE-2016-5676
CVE-2016-5677
CVE-2016-5678
CVE-2016-5679
CVE-2016-5680
JVN iPedia