lunes, 23 de agosto de 2004

Vulnerabilidades en cámaras de red y servidores de vídeo Axis

Reportadas sendas pruebas de concepto sobre escalada de directorios e
inyección de código en varios modelos de cámaras de red y servidores
de vídeo Axis.

La primera vulnerabilidad se detecta en un CGI que no filtra
adecuadamente las entradas, lo que permite inyectar comandos a nivel
de sistema. La prueba de concepto publicada demuestra como es posible,
gracias a esta vulnerabilidad, extraer el archivo etc/passwd.

La segunda vulnerabilidad permite escalar directorios a través del
servicio web mediante la cadena "../", y subir archivos en cualquier
localización del sistema. En esta ocasión, la prueba de concepto
consiste en crear una nueva cuenta de administrador, con privilegios
totales sobre el sistema.

Según el aviso original, los dispositivos donde se han comprobado las
vulnerabilidades, sin excluir la posibilidad de que otros modelos se
encuentren afectados, son:

Axis 2100/2110/2120/2420 Network Camera 2.12-2.40
AxisS 2130 PTZ Network Camera
Axis 2400/2401 Video Server

La prueba de concepto ha sido publicada tras, según el aviso original,
no obtener respuesta del departamento de seguridad de Axis. A la
espera de parches y/o actualizaciones oficiales, la solución de
momento pasa por limitar el acceso al servicio web de los dispositivos.


Bernardo Quintero
bernardo@hispasec.com


Más información:

[PoC] Nasty bug(s) found in Axis Network Camera/Video Servers
http://lists.netsys.com/pipermail/full-disclosure/2004-August/025606.html