Nul
En zero-day-sårbarhed er til stede i sikkerhed kameraer og overvågning af udstyr ved hjælp af Nuuo software menes at påvirke hundredvis af tusindvis af enheder på verdensplan.
Forskere fra cybersecurity firma Holdbart afsløret fejl, som er blevet tildelt CVE-2018-1149.
Sårbarheden kan ikke få meget mere alvorligt, som det giver angribere mulighed for at eksekvere kode via fjernadgang i softwaren, siger forskerne i en sikkerhedsmeddelelse på mandag.
Nuuo, der beskriver sig selv som en udbyder af “tillid til video management” software, der tilbyder en vifte af video-løsninger til overvågning af systemer i industrien, herunder transport, bankvæsen, regeringen, og boligområder.
Døbt “Peekaboo” nul-dag stak med bufferoverløb, når de udnyttes, giver trussel aktører til at se og manipulere med videoovervågning optagelser og feeds. Det er også muligt at bruge den fejl at stjæle data, herunder legitimationsoplysninger, IP-adresser, port brug, og foretage & modeller overvågning af tilsluttede enheder.
En sådan sårbarhed er vidtrækkende, real-world konsekvenser — som kriminelle kunne kompromittere et overvågningskamera feed, skal du udskifte optagelserne med et statisk billede, og en raid lokaler, for eksempel.
Hertil kommer, at fejlen kunne bruges til fuldt ud at deaktivere kameraer og overvågning produkter.
Peekaboo specifikt påvirker NVRMini 2 NAS og network video recorder, der fungerer som et knudepunkt for forbundet overvågning produkter. Når udnyttet, produktet har adgang til control management system (CMS) interface, hvilket yderligere udsætter prøvelse for alle tilsluttede video-overvågning af kameraer, der er koblet til opbevaring system.
Tale til ZDNet, Gavin Millard, VP of threat intelligence på en Holdbar løsning, sagde, at organisationer over hele verden bruger Nuuo software, herunder i indkøbscentre, hospitaler, banker og offentlige områder.
Men deri ligger problemet — som softwaren er også hvid mærket til over 100 mærker og 2.500 kamera produktlinjer.
TechRepublic: 4 tips til at designe og installere et system til overvågning i din virksomhed
Som et resultat, Millard siger, at “foreløbige skøn viser, at Peekaboo kan påvirke op til hundredvis af tusindvis af web-baserede kameraer og enheder på verdensplan.”
Se også: Dawn af det intelligente overvågningskameraer
Yderligere tekniske detaljer, som ikke er blevet udgivet som nul-dag, fortsat er uændrede. Men Nuuo firmware versioner 3.9.0 og tidligere er sårbare.
“Vores verden kører på teknologi. Det hjælper os med at overvåge, kontrollere og kommunikere med hinanden og vores omgivelser. Og det er en af de mange grunde til, at vi har set en massiv stigning i tilsluttet udstyr for nylig,” sagde Renaud Deraison, medstifter af og chief technology officer af Holdbart. “[…] Som mere IoT enheder er bragt online, angreb overfladen udvider sig og introducerer nye risici for både forbrugere og organisationer.”
CNET: Bedste Hjem Sikkerhed Kameraer til 2018
Holdbar afsløret zero-day-sårbarhed over for Nuuo. Et plaster har ikke været udgivet, men Nuuo er i øjeblikket ved at udvikle en rettelse til implementering.
Et plugin er også blevet udgivet som en Holdbar løsning for organisationer at vurdere, om eller ikke at de er sårbare over for Peekaboo.
ZDNet har nået ud til at Nuuo og vil opdatere, hvis vi hører tilbage.
Tidligere og relaterede dækning
Sårbarheder i disse IoT-kameraer kan give hackere fuld kontrol, advarer forskere Spyware firma SpyFone blade kunde data, optagelser udsat online 10 indendørs overvågningskameraer for en smartere hjem eller kontor
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0