发布日期：2018-09-19
更新日期：2018-09-20

受影响系统：

NUUO NVRmini 2

描述：

---

CVE(CAN) ID: CVE-2018-1149

NVRMini2是便携式NVR解决方案。

NVRMini2系统对外暴露了一个HTTP访问接口 http://<target>/cgi-bin/cgi_system， 通过这个接口，具有权限的用户可以访问到终端设备，导致远程执行代码，攻击者不仅能够控制NVR，还可以访问和修改NVR中所有的用户凭证数据。

<*来源：Tenable
  *>

建议：

---

临时解决方法：

绿盟科技方案
检测方案
使用绿盟科技Web应用漏洞扫描系统、绿盟科技绿盟远程安全评估系统发现内网存在问题的设备。
使用绿盟科技网络入侵检测系统发现网络中存在的攻击特征。
防护方案
使用绿盟科技WEB应用防护系统、绿盟科技NF防火墙系统、绿盟科技网络入侵防护系统进行设备隔离或者攻击阻断。

厂商补丁：

NUUO
----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本，同时建议保证设备不暴露在互联网上，并在防火墙设备上加入对摄像头HTTP服务的访问控制策略：

http://www.nuuo.com/

浏览次数：2806
严重程度：0（网友投票）