漏洞概述 漏洞名称: 使用默认凭据未经授权远程访问NUUO网络视频录像机内部面板 发现者: Dnyanesh A. Gawande 发布日期: 2022年3月24日 受影响版本: ≤ 1.0 厂商主页: https://nuuo.com/ CVE ID: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25521 影响范围 漏洞描述: NUUO Web Network视频录像机界面上的漏洞允许未经身份验证的远程用户以高权限账户访问系统的敏感部分。 原因: 存在一个默认账户,用户名为“admin”,密码为“admin”。攻击者可以利用此默认账户连接到受影响系统,获取对系统数据的读写访问权限,包括配置受影响设备。攻击者将获得对系统敏感部分的访问权限,并拥有完全的管理权限来控制设备,导致漏洞严重性增加。 攻击向量: 恶意攻击者可以通过使用默认凭据远程登录到受影响系统来利用此漏洞。 修复方案 步骤: 1. 访问NUUO管理面板。 2. 输入用户名“admin”和密码“admin”并点击登录。 3. 重定向到视频录像机的管理面板后,您可以读取和控制设备,并能够远程更改设备的配置。 概念验证 (POC) 截图: - 登录界面: !登录界面 - 管理面板: !管理面板 搜索工具 Shodan: Nuuo 标签 Admin Adminpanel Bugbounty Poc Bug Bounty Bug Bounty Tips 作者信息 作者: Dnyanesh Gawande 关注者: 1 关注: 1 其他信息 订阅: 获取Dnyanesh Gawande的故事在您的收件箱中 订阅表单: - 输入您的电子邮件 - 订阅 - 记住我以便更快地登录 页脚 帮助: 状态、关于、招聘、新闻、博客、商店、隐私、规则、条款、文本转语音 --- 总结 该漏洞涉及NUUO网络视频录像机使用默认凭据(用户名“admin”,密码“admin”)进行远程访问,导致未经授权的访问和潜在的系统控制。修复方法是更改默认凭据或禁用默认账户。