NVRmini2 Devices

Die Schwachstelle betrifft die Netzwerk-Videorekorder der Reihe NVRmini2 von NUUO. Ursache ist eine fehlende Authentifizierungsprüfung in einer Komponente der Geräteverwaltung, die das Einspielen von Benutzerdaten verarbeitet. Dadurch kann ein Angreifer aus der Ferne und ohne gültige Zugangsdaten ein verschlüsseltes TAR-Archiv hochladen. Dieser Upload lässt sich missbrauchen, um beliebige Benutzerkonten auf dem Gerät anzulegen, da die zuständige Verarbeitungsfunktion den Anfragenden nicht überprüft. Bleibt es nicht beim Anlegen von Konten, lässt sich der Fehler mit einer weiteren Schwachstelle desselben Geräts verketten: In Kombination können beliebige Dateien unterhalb des Web-Verzeichnisses überschrieben werden, was schließlich die Ausführung von eigenem Code mit Root-Rechten – also vollständiger Systemkontrolle – ermöglicht. Da diese Rekorder typischerweise zur Videoüberwachung dauerhaft im Netz erreichbar sind, ist die ungeschützte Upload-Funktion ein unmittelbar exponierter Angriffspunkt.