Faille critique dans l'enregistreur vidéo NUUO NVRmini 2

Le NUUO NVRmini 2 est un enregistreur vidéo NAS pour caméra de sécurité.

On le retrouve donc dans pas mal d’entreprise pour la gestion de la surveillance.

Si par malheur vous avez laissé traîner son administration sur le WEB alors vous feriez bien de vite le bloquer.

En effet un google hack permet d’en trouver quelques uns :

				
					intitle:"NUUO Network Video Recorder Login" "Language"
				
			

Grace à cette faille, un hacker sans avoir besoin d’être authentifié va pouvoir uploader un tar corrompu.

Accouplé à la faille CVE-2011-5325 on peut alors écraser des fichiers du webroot et activer un exploit root.

On trouve déjà un module pour metasploit pour exploiter cette faille.

Il est vivement conseiller de bloquer l’accès depuis internet à ce type de matériel.

Information Valeur

CVE

CVE-2022-23227

CVE publié le

14/01/2022

Score

10

Fuite de données

Critique

Intégrité Système

Critique

Impact sur les ressources

Critique

Compléxité

Facile

Authentification requise

Non