Lỗ hổng định danh CVE-2021-32941 (điểm CVSS là 9.4), là lỗ hổng tràn bộ đệm trên ngăn xếp ảnh hưởng đến dịch vụ web của đầu ghi video mạng N48PBB (NVR) do Annke sản xuất, cho phép kẻ tấn công từ xa thực thi mã tùy ý và truy cập các thông tin nhạy cảm.
Nozomi cho biết họ đã báo cáo lỗ hổng bảo mật này cho Annke vào ngày 11/7/2021 và đã phát hành bản vá thông qua bản cập nhật firmware vào ngày 22/7/2021. Theo một thông báo của Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) công bố, sản phẩm bị ảnh hưởng của Annke được sử dụng ở nhiều quốc gia trên toàn thế giới.
Các nhà nghiên cứu của Nozomi đã phát hiện ra lỗ hổng trong đầu ghi video mạng N48PBB (NVR), được sử dụng để xem các luồng video trực tiếp, quản lý camera và lưu trữ video do camera quay được. Lỗ hổng này khi bị khai thác thành công có thể cho phép kẻ tấn công truy cập các video đã ghi, xóa cảnh quay, thay đổi cấu hình (ví dụ: cảnh báo phát hiện chuyển động) và vô hiệu hóa các camera hoặc NVR để ngăn chúng có thể ghi.
Nozomi đã tiến hành phân tích chi tiết về thiết bị, bao gồm việc trích xuất firmware bằng kết nối vật lý với bộ nhớ tích hợp trên bo mạch chủ của nó. Các nhà nghiên cứu ban đầu đã tìm thấy một lỗ hổng từ chối dịch vụ (DoS), nhưng phân tích sâu hơn cho thấy rằng nó có thể bị khai thác để thực thi mã từ xa với các đặc quyền root, dẫn đến thiết bị có thể bị xâm phạm hoàn toàn.
Bo mạch chủ của N48PBB
Để khai thác lỗ hổng yêu cầu phải xác thực, tuy nhiên việc thiếu các biện pháp bảo vệ chống cross-site request forgery (CSRF) cũng cho phép những kẻ tấn công nhắm mục tiêu vào một thiết bị mà không được xác thực. Qua đó, có thể đánh lừa người dùng hoặc quản trị viên đã đăng nhập để truy cập vào một trang web được thiết kế riêng, trong khi đăng nhập vào giao diện quản trị của NVR, để có thể thực thi mã độc bên ngoài trên chính thiết bị.
Nozomi cho biết: “Các hệ thống giám sát video hiện nay được xem là các thiết bị Internet of Things (IoT), những thiết bị này phải chịu nhiều rủi ro an ninh mạng tương tự như một số thiết bị mạng truyền thống khác. Ví dụ, mạng botnet Mirai nhắm mục tiêu vào các camera IP giống như các bộ định tuyến hoặc máy in, mục đích làm tổn hại chúng và sau đó được sử dụng cho các cuộc tấn công mạng quy mô lớn”.
Hiện bản cập nhật đã có trên cửa hàng trực tuyến của Annke. Công ty cũng khuyến cáo các khách hàng nên cài đặt các bản cập nhật trên thiết bị của họ càng sớm càng tốt, nhằm giảm thiểu nguy cơ bị tấn công.