Уязвимость в ПО Nuuo ставит под угрозу сотни тысяч камер наблюдения
Злоумышленники могут просматривать и модифицировать записи с видеокамер, красть данные, а также отключать системы видеонаблюдения.
Специалисты компании Tenable раскрыли некоторые подробности об опасной уязвимости в программном решении для систем видеонаблюдения производства тайваньской компании Nuuo. С помощью данной уязвимости, получившей название Peekaboo, злоумышленники могут просматривать и модифицировать записи с видеокамер, похищать информацию, в том числе логины/пароли, данные об IP-адресах, используемых портах, моделях подключенных устройств, а также полностью отключать камеры и системы видеонаблюдения.
Исследователи выявили две уязвимости — первая представляет собой переполнение буфера в стеке и может быть проэксплуатирована удаленно неавторизованным атакующим, а вторая — бэкдор в коде отладки.
Главным образом проблема затрагивает автономный сетевой видеорегистратор для IP-камер NVRMini 2, служащего в качестве хаба для подключенных систем наблюдения. При успешной атаке злоумышленники могут получить доступ к интерфейсу системы управления содержимым и, соответственно, учетным данным всех подключенных к хранилищу устройств.
Программные решения Nuuo используются организациями по всему миру, в том числе банками, больницами, торговыми центрами и пр. Поскольку ПО Nuuo также распространяется по модели White Label, уязвимости может быть подвержена продукция более 100 брендов и 2,5 тыс. линеек IP-камер. По предварительным оценкам специалистов, речь может идти о сотнях тысяч web-камер и устройств по всему миру.
Эксперты решили не раскрывать технические подробности о Peekaboo до выпуска соответствующего патча. Известно, что уязвимыми являются версии прошивки Nuuo 3.9.0 и более ранние. Исследователи также выпустили плагин для проверки ПО на предмет наличия Peekaboo.
White Label («белая этикетка») — модель сотрудничества, предусматривающая производство продуктов или услуг одной компанией и реализацию другой компанией под своим брендом.