🕵️ AVTECH IP Camera/NVR/DVR cgi-bin/cgibox Information Disclosure
Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: vuldb.com
Eine Schwachstelle wurde in AVTECH IP Camera, NVR sowie DVR - eine genaue Versionsangabe steht aus - entdeckt. Sie wurde als problematisch eingestuft. Es geht hierbei um eine unbekannte Funktion der Datei cgi-bin/cgibox. Durch Beeinflussen mit der Eingabe .cab
kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für die Vertraulichkeit.
Die Schwachstelle wurde am 11.10.2016 durch Gergely Eberhardt (ebux25) als AVTECH IP Camera, NVR, DVR multiple vulnerabilities in Form eines ungeprüften Mailinglist Posts (Bugtraq) herausgegeben. Auf seclists.org kann das Advisory eingesehen werden. Im Advisory ist nachzulesen:
We note that the above vulnerabilities were found within a short period of time without a systematic approach. Based on the vulnerability types we found and the overall code quality, the devices should contain much more problems.
Die Ausnutzbarkeit gilt als leicht. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Die Beschaffenheit der Schwachstelle lässt vermuten, dass ein Exploit momentan zu etwa USD $1k-$2k gehandelt werden wird. Es dauerte mindestens 358 Tage, bis diese Zero-Day Schwachstelle öffentlich gemacht wurde. Während dieser Zeit erzielte er wohl etwa $1k-$2k auf dem Schwarzmarkt.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Von weiterem Interesse können die folgenden Einträge sein: 92524, 92525, 92526 und 92527.
Video
Youtube: https://youtu.be/BUx8nLlIMxICVSSv3
Base Score: 5.3 [?]Temp Score: 5.1 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N/E:X/RL:U/RC:R [?]
Zuverlässigkeit: High
CVSSv2
Base Score: 5.0 (CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N) [?]Temp Score: 4.8 (CVSS2#E:ND/RL:U/RC:UR) [?]
Zuverlässigkeit: High
CPE
Exploiting
Klasse: Information DisclosureLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: Nicht verfügbar
0-Day Time: 358 Tage seit gefunden
Timeline
19.10.2015 Hersteller informiert11.10.2016 Advisory veröffentlicht
11.10.2016 VulDB Eintrag erstellt
11.10.2016 VulDB letzte Aktualisierung
Quellen
Advisory: AVTECH IP Camera, NVR, DVR multiple vulnerabilitiesPerson: Gergely Eberhardt (ebux25)
Status: Ungeprüft
Siehe auch: 92524, 92525, 92526, 92527, 92528, 92529, 92530, 92532, 92533, 92534, 92535, 92536, 92537
Eintrag
Erstellt: 11.10.2016Zugriffe pro Woche: 1
Eintrag: 75.3% komplett
...