Уязвимость в ПО Nuuo ставит под угрозу сотни тысяч камер наблюдения

image

Теги: Nuuo, Peekaboo, уязвимость, системы видеонаблюдения, Интренет вещей

Злоумышленники могут просматривать и модифицировать записи с видеокамер, красть данные, а также отключать системы видеонаблюдения.

Специалисты компании Tenable раскрыли некоторые подробности об опасной уязвимости в программном решении для систем видеонаблюдения производства тайваньской компании Nuuo. С помощью данной уязвимости, получившей название Peekaboo, злоумышленники могут просматривать и модифицировать записи с видеокамер, похищать информацию, в том числе логины/пароли, данные об IP-адресах, используемых портах, моделях подключенных устройств, а также полностью отключать камеры и системы видеонаблюдения.

Исследователи выявили две уязвимости - первая представляет собой переполнение буфера в стеке и может быть проэксплуатирована удаленно неавторизованным атакующим, а вторая - бэкдор в коде отладки.

Главным образом проблема затрагивает автономный сетевой видеорегистратор для IP-камер NVRMini 2, служащий в качестве хаба для подключенных систем наблюдения. При успешной атаке злоумышленники могут получить доступ к интерфейсу системы управления содержимым и, соответственно, учетным данным всех подключенных к хранилищу устройств.

Программные решения Nuuo используются организациями по всему миру, в том числе банками, больницами, торговыми центрами и пр. Поскольку ПО Nuuo также распространяется по модели White Label, уязвимости может быть подвержена продукция более 100 брендов и 2,5 тыс. линеек IP-камер. По предварительным оценкам специалистов, речь может идти о сотнях тысяч web-камер и устройств по всему миру.

Эксперты решили не раскрывать технические подробности о Peekaboo до выпуска соответствующего патча. Известно, что уязвимыми являются версии прошивки Nuuo 3.9.0 и более ранние. Исследователи также выпустили плагин для проверки ПО на предмет наличия Peekaboo.

White Label («белая этикетка») - модель сотрудничества, предусматривающая производство продуктов или услуг одной компанией и реализацию другой компанией под своим брендом.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.