Múltiples vulnerabilidades en Aver EH6108H+ hybrid DVR

Se han reportado tres vulnerabilidades en dispositivos Aver EH6108H+ hybrid DVR, un sistema de gestión de cámaras de seguridad IP y streaming de video. Las vulnerabilidades están consideradas de gravedad alta y podrían permitir a un atacante remoto saltar restricciones de seguridad o incluso revelar información sensible.

El dispositivo Aver EH6108H+ es un DVR (grabador de video digital) híbrido de 8 canales que proporciona facilidad de uso, alto rendimiento y calidad de imagen. Este DVR cuenta con transmisión inteligente secuencial, notificaciones avanzadas de alarma, soporte de doble Gigabit LAN, cuenta con integración POS, integración de software a distancia y mucho más. Son dispositivos ampliamente usados en el sector de seguridad industrial, comercial y bancario.

Detalle e Impacto de las vulnerabilidades

• En el primer problema, con CVE-2016-6535, el dispositivo contiene dos cuentas de credenciales con privilegios de root incluidas en el propio código del sistema. Estas dos cuentas podrían ser usadas por un atacante remoto para ganar privilegios dentro del sistema a través de sesiones de telnet ejecutadas por defecto.
• El siguiente problema, con CVE-2016-6536, debido a la facilidad para averiguar determinados parámetros de identificación del interface web (/setup), un atacante remoto no autenticado podría ser capaz de acceder a páginas restringidas y/o modificar las configuraciones del DVR e incluso modificar las cuentas de usuario.
• Por último, con CVE-2016-6537, el problema radica en la forma poco segura de manejar y almacenar las credenciales de usuario (almacenadas en cadenas codificadas en base64). Esto podría ser aprovechado por un atacante remoto no autenticado que podría obtener información sensible del sistema con bastante facilidad.

Las tres vulnerabilidades han sido reportadas por Travis Lee y afectan a dispositivos con firmware X9.03.24.00.07l.

La página web (http://surveillance.aver.com/model/embedded-hybrid-DVR-EH6108H-plus/ ) del fabricante del producto figura como discontinuado, desconocemos si se van a tomar medidas para paliar estas fallas de seguridad.

Recomendación

1. Reducir la exposición a la red de los dispositivos, asegurándose de que no sean accesibles a través de Internet.
2. Usar cortafuegos, y aislar la red local de posibles accesos no autorizados.
3. Cuando se requiera el acceso remoto, usar métodos seguros tales como redes privadas virtuales (VPNs).

Más información:

• Aver EH6108H+ hybrid DVR http://surveillance.aver.com/model/embedded-hybrid-DVR-EH6108H-plus/
• Vulnerability Note VU#667480. AVer Information EH6108H+ hybrid DVR contains multiple vulnerabilities. http://www.kb.cert.org/vuls/id/667480

Fuente: Hispasec