Se ha hecho pública una vulnerabilidad crítica de "día cero" en un equipo de grabación de vídeo en red fabricado por NUUO, ya que un investigador afirma que los problemas no parcheados podrían conducir a la ejecución remota de código (RCE).
Descubierto por el fundador de Agile Information Security, Pedro Ribeiro, los problemas han estado supuestamente presentes en el dispositivo NUUO NVRmini2 desde 2016.
El NVRmini2 es un grabador de vídeo en red (NVR) del proveedor taiwanés NUU que es capaz de grabar y almacenar imágenes de seguridad en formato digital.
Ribeiro afirma que reveló vulnerabilidades de inyección de comandos y desbordamiento de pila en NVRmini2 hace seis años. En ese momento, Ribeiro dijo que el producto tenía una "seguridad terrible", y si sus afirmaciones son ciertas, entonces nada ha cambiado para mejor.
"Las dos vulnerabilidades reveladas se encontraron durante mi auditoría de 2016", dijo Ribeiro a The Daily Swig. "Sin embargo, en ese momento, encontré tantas otras vulnerabilidades que en realidad me olvidé de reportarlas - hasta que en 2019 redescubrí mis notas y les informé".
Problemas sin corregir
Como se documenta en GitHub, aparentemente hay dos vulnerabilidades sin parchear. La primera, a la que aún no se le ha asignado un CVE pero que se considera crítica, es la falta de un método de autenticación en una función crítica del firmware de NVRmini2.
Según Ribeiro, la función handle_import_user.php de todas las versiones del firmware, incluida la última, carece de las protecciones adecuadas para impedir que usuarios no autentificados accedan al script.
La segunda supuesta vulnerabilidad es el uso de una versión heredada de BusyBox, un paquete de utilidades de Unix. Esta versión está afectada por una serie de fallos, entre los que se encuentra el CVE-2011-5325, un fallo de recorrido que permite a los atacantes remotos apuntar a archivos fuera del directorio de trabajo actual.
Abusando del mecanismo HTTP POST y elaborando archivos tar maliciosos, es posible encadenar las vulnerabilidades para lanzar una webshell y ejecutar comandos como root, dice Ribeiro.
Además de la divulgación, el investigador ha publicado un módulo Metasploit que empaqueta la cadena de vulnerabilidad descrita en el aviso.
Se dice que el código de prueba de concepto (PoC) funciona en la mayoría de las versiones de firmware, a excepción de las anteriores a la versión 2.0.0, aunque se pueden utilizar técnicas alternativas en las versiones de software anteriores.
En el momento de escribir este artículo, las vulnerabilidades siguen sin ser corregidas en la última versión del firmware, la v.03.11.0000.0016, a pesar de que el investigador afirma haber hecho múltiples intentos de revelarlas. No hay ninguna solución oficial disponible.
Cómo mitigar los riesgos
El investigador recomienda a los propietarios de dispositivos NVRmini2 que mantengan sus productos alejados de las redes no confiables como forma de mitigar el riesgo de explotación.
Aparte de eso, utilizar el exploit del propio Ribeiro y eliminar la función handle_import.user.php puede solucionar el problema, pero no está garantizado.
"Durante el proceso de divulgación, incluso después de múltiples intentos, no parecían entender realmente la vulnerabilidad", comentó Ribeiro.
"Se lo explicamos varias veces y parecían completamente despistados. Fueron bastante amables y agradables de tratar en términos de modales y de cómo nos trataron, pero técnicamente no tenían ni idea".
The Daily Swig se ha puesto en contacto con NUUO para obtener comentarios, pero no ha recibido respuesta en el momento de la publicación. Actualizaremos este artículo cuando recibamos la respuesta.