Описание
Была обнаружена уязвимость, которая позволяет получить доступ к административной панели систем Flussonic (видеостриминовый сервер).
Провайдер оказывает услугу доступа к городским и частным видеокамерам. В ходе исследования API, был обнаружен запрос фрагмент которого, представлен ниже:
{
...
"opened_at": 1714103635526,
"dvr_storage_io_read": 0,
"dvr_storage_io_write": 1352243,
"dvr_played_bytes": 0,
"out_bandwidth": 2024,
"dvr_replication_running": false,
"status": "running",
"url": "rtsp://admin:[email protected] ... /ch02/0",
"running_transcoder": false,
"playback_bytes": 19214439479,
"push_duration": 0,
"playback_duration": 63010,
"last_access_at": 1716072174866,
"dvr_recorded_duration": 1968542,
"alive": true
...
}
Flussonic обеспечивает доставку от оборудования DVR по каналу RTSP до конечного сервера.
И в данном случае в поле “url” мы видим внутренний, локальный путь до DVR-камеры с авторизацией администратора:
admin:Rp8aXaUTlsZSb
Далее происходит авторизация в админ-панели Flussonic и осуществляется полный контроль за кластером, уже приватных камер:
Решение
Необходимо использовать внутренний, безопасный механизм доступа к публичным камерам embed.html. Он обеспечивает односторонний механизм внедрения на сервис (через iframe).