Tenableリサーチアドバイザリー：Peekaboo NUUOネットワークビデオレコーダーの致命的な脆弱性を悪用

Tenable Researchは、Peekabooという深刻な脆弱性が、ビデオ監視システム用のIoTネットワークビデオレコーダーのリモートコード実行を許可することを発見しました。この脆弱性により、攻撃者はリモートからフィードを表示したり、録画を改ざんすることができます。 9月19日、NUUOはPeekabooの脆弱性に対処するためにバージョン3.9.1をリリースしました。 影響を受けるユーザーには、できるだけ早くNVRMini2デバイスを更新する必要があります。 更新は、こちらのWebサイトからダウンロードできます。

Tenable Researchは、NUUOのNetwork Video Recorderソフトウェアの2つの脆弱性を発見しました。最初の脆弱性は重大な認証されていないスタックバッファのオーバーフローで、もう1つは残されたデバッグコードのバックドアです。これらの脆弱性は、ネットワークに接続されたストレージデバイスおよびネットワークビデオレコーダーであるNVRMini2で評価・試験されました。

背景

NUUOは、閉回路テレビ（CCTV）、監視ソフトウェア、ビデオソフトウェア、ハードウェアを提供しています。NUUOのソフトウェアとデバイスは、小売、輸送、教育、政府、銀行などの業界でのWebベースのビデオ監視に一般的に使用されています。脆弱性のあるデバイス、NVRMini2は、ネットワークに接続されたストレージデバイスとネットワークビデオレコーダーで、複数のカメラのフィードを同時に表示し、記録することができます。

より興味深いことに、NUUOはOEMとしてソフトウェアを第三者のベンダーにホワイトラベルとして提供しています。 影響を受ける第三者ベンダーの完全なリストは現在不明です。

CVE-2018-1149: Peekaboo、認証されていないスタックバッファのオーバーフロー

分析

リモート・コードの実行を許可する、認証されていないスタック・バッファ・オーバーフロー (CWE-121) が見つかり、この脆弱性のCVSSv2 基本値は10.0、現状値は8.6で、深刻度は緊急と評価されています。

NVRMini2は、共通ゲートウェイインタフェース（CGI）プロトコルを介して実行可能なバイナリをサポートするオープンソースのWebサーバを使用します。NVRMini2で実行できるCGIバイナリの1つは 'cgi_system'で、http：//x.x.x.x/cgi-bin/cgi_systemからアクセスできます。このバイナリは、ユーザー認証に必要な様々なコマンドとアクションを処理します。

認証中に、cookieパラメータのセッションIDサイズがチェックされないため、sprintf関数でスタックバッファオーバーフローが発生します。この脆弱性により、「ルート」または管理者権限を使用したリモートコード実行が可能になります。

概念実証

テナブルのシニアリサーチエンジニアであるJacob Bainesは、この脆弱性がどのようにNVRMini2を乗っ取り、接続されたカメラを操作するために悪用されるのかを実証するために 脆弱性を開発しました 。

CVE-2018-1150: 謎のバックドアの

また、 残されたデバッグコードにバックドアが見つかりました。

<pre>
if (file_exists(constant("MOSES_FILE"))) //back door
 {
 update_session();
 return 0;
 }
</pre>

/tmp/mosesという名前のファイルが存在する場合、バックドアが有効になり、システム上のすべてのユーザーアカウントの一覧表示が許可され、アカウントのパスワードの変更が可能になります。攻撃者がカメラのフィードやCCTV録画を表示したり、システムからカメラを完全に削除したりすることができるようになります。この脆弱性のCVSSv2基準値は4.0、現状値は3.2で、深刻度は中度と評価されています。

これは謎のアーティファクトで、開発コードが残っているのか、悪意のあるコードが追加されたのか、特定することはできませんでした。バックドアを有効にして利用するには、攻撃者は“/tmp/moses”というファイルを作成する必要があります。そのため、攻撃には何らかの形のアクセス、または、別の悪用と組み合わせる必要があります。このコードの存在と難読化の欠如は謎です。

事業影響度

NUUOはビデオ監視業界の世界的リーダーであり、これらのデバイスは世界中に10万台以上設置されています。同社のソフトウェアはOEMとしても提供され、幅広いテクノロジーとシステムインテグレーションパートナーによりサードパーティの監視システム導入に統合されています。どのNVRMini2インスタンスでも最大16台の接続されたCCTVカメラを管理できるため、間接的に危険にされているデバイスの数は数十万に上る可能性があります。

特に懸念されるのは、リモートコード実行の脆弱性です。Peekabooは悪用されると、サイバー犯罪者に制御管理システム（CMS）へのアクセスを許可し、接続されているすべてのCCTVカメラの資格情報が公開されます。NVRMini2デバイスでルートアクセスを使用すると、サイバー犯罪者はライブフィードを切断し、セキュリティ映像を改ざんすることができます。たとえば、ライブフィードを監視領域の静止画像と置き換え、犯罪者がカメラで検出されずに敷地内に入ることを可能にすることができます。

<code>
root@NVR:/NUUO/bin# cat /mtd/block4/NUUO/etc/camera.ini
[Camera01]
CameraAuto=0
ShowModelName=M3044-V
MacAddress=
OutputPinCount=0
InputPinCount=0
ManufacturerName=Axis
BrandName=Axis
Protocol=3
Channel=1
ModelName=M3044-V
Manufacturer=
Brand=
Password=password1
UserName=root
Port=80
HostIP=192.168.1.183
CameraName=AXIS
</code>

CCTVカメラ資格情報の露出

サイバー犯罪者は現在、一般にIoTデバイスを侵害するために使用されている MiraiやGafGytマルウェアファミリなどを使用し、他のCCTV NVRやカメラを積極的にターゲットにしています。さらに、NUUO NVRデバイスも、昨年報告したように、Reaper IoTボットネットのターゲットとなりました。

ソリューション

更新：9月19日、NUUOはPeekabooの脆弱性に対処するためにバージョン3.9.1をリリースしました。影響を受けるユーザーは、できるだけ早くNVRMini2デバイスを更新する必要があります。更新は、こちらの同社のウェブサイトからダウンロードできます。影響を受けるエンドユーザーは、脆弱なデバイスへのネットワークアクセスを許可された正当なユーザーだけに制限し、制御するようにしてください。

影響を受けているシステムの特定

テナブルは、脆弱な資産を特定するために以下のプラグインを用意しております。

詳細情報

• バージョン3.9.1 NUUOリリースノート
• Tenable Researchアドバイザリー
• Tenable Researchブログ投稿、「Peekaboo：監視カメラのハッキングに要注意」
• プレスリリース「Tenable ResearchがPeekabooゼロデイの脆弱性を発見」