CVE-2022-23227

NUUO NVRmini2 Devices

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-12-18

Официальное описание

NUUO NVRmini2 devices contain a missing authentication vulnerability that allows an unauthenticated attacker to upload an encrypted TAR archive, which can be abused to add arbitrary users.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-23227 представляет собой критическую уязвимость, связанную с отсутствием проверки подлинности (Missing Authentication) в сетевых видеорегистраторах NUUO NVRmini2.

Проблема заключается в небезопасной реализации эндпоинта, отвечающего за загрузку конфигурационных файлов. Неавторизованный злоумышленник может отправить специально сформированный зашифрованный TAR-архив на устройство. Поскольку система не проверяет права доступа перед обработкой файла, содержимое архива распаковывается в системные директории. Это позволяет атакующему перезаписать критические файлы (например, /etc/passwd или базу данных пользователей), добавить собственного пользователя с правами администратора и получить полный контроль над устройством.

Как исправить

Основным способом устранения уязвимости является обновление прошивки (firmware) до версии, в которой была внедрена проверка авторизации для функций импорта конфигурации.

  1. Перейдите на официальный портал поддержки NUUO или в раздел загрузок.
  2. Скачайте актуальную версию прошивки (рекомендуется версия 3.11.0 или выше, где данная брешь была закрыта).
  3. Зайдите в веб-интерфейс NVRmini2 под учетной записью администратора.
  4. Перейдите в раздел System Administration -> Firmware Upgrade.
  5. Выберите скачанный файл и запустите процесс обновления.
  6. После перезагрузки устройства убедитесь, что версия ПО обновилась:
cat /etc/version

Временные меры

Если немедленное обновление прошивки невозможно, необходимо минимизировать риски с помощью сетевого экранирования и контроля доступа:

  1. Изолируйте устройство от публичного интернета. NVR не должен быть доступен по внешним IP-адресам.
  2. Настройте правила Firewall (ACL), разрешив доступ к веб-интерфейсу (порты 80, 443) только с доверенных IP-адресов администраторов:
iptables -A INPUT -p tcp -s <TRUSTED_IP> --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
  1. Измените стандартные пароли для всех существующих учетных записей.
  2. Проверьте список пользователей на наличие подозрительных учетных записей, которые могли быть добавлены через эксплуатацию уязвимости:
cat /etc/passwd
  1. Используйте VPN для удаленного доступа к видеорегистратору вместо проброса портов (Port Forwarding) на роутере.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей