Kritische Root-Sicherheitslücke in Netzwerk-Videorekorder von Annke entdeckt

Wer das Videoüberwachungssystem N48PBB von Annke einsetzt, sollte das System zeitnah auf den aktuellen Stand bringen. Der Grund dafür ist eine als "kritisch" eingestufte Sicherheitslücke. Der Netzwerk-Videorekorder kommt weltweit unter anderem in kritischen Infrastrukturen zum Einsatz.

Nutzen Angreifer die Schwachstelle (CVE-2021-32941) erfolgreich aus, könnten sie auf eigentlich abgeschottete Daten zugreifen oder sogar Schadcode ausführen. Davor warnt die Cybersecurity & Infrastructure Security Agency (CISA) in einem Beitrag.

Root-Schadcode-Lücke

Den Entdeckern der Lücke von Nozomi Networks zufolge steckt die Schwachstelle in der Web-Applikation, über die man Geräteeinstellungen vornimmt. Standardmäßig sollen alle Nutzer gespeicherte Aufnahmen einsehen können. Mittels präparierter HTTP-Anfragen konnten die Sicherheitsforscher einen Speicherfehler (stack-based overflow) und somit einen DoS-Zustand auslösen.

So etwas ist in der Regel die Vorstufe zur Ausführung von Schadcode. In diesem Fall sogar mit Root-Rechten. Das ist besonders gefährlich, da mit diesen Rechten ausgestattete Angreifer Geräte vollständig kompromittieren könnten.

Außerdem konnten die Forscher nach eigenen Angaben die Firmware manipulieren, um unbeschränkten SSH-Zugang zum Netzwerk-Videorekorder zu bekommen.

Jetzt patchen!

Von der Schwachstelle sind alle Firmware Versionen bis einschließlich V3.4.106 build 200422 betroffen. Derzeit ist die abgesicherte Ausgabe V3.4.106 build 201121 im offiziellen Download-Portal verfügbar.

Zusätzlich zum Patchen sollten Admins sicherstellen, dass das System nicht direkt aus dem Internet erreichbar ist. Wenn das nicht vermeidbar ist, sollte der Zugriff ausschließlich verschlüsselt via VPN erfolgen. Lokal sollten nur registrierte Nutzer darauf zugreifen dürfen. Außerdem empfiehlt es sich, dass System mittels einer Firewall abzuschotten.

(des)