21.09.2018
Две уязвимости в защите сетевых видеорегистраторов производства компании NUUO обнаружили специалисты компании Tenable Research, которая специализируется в области информационной безопасности. Сообщается, что эти бреши оставили открытыми для атаки 800 тысяч камер видеонаблюдения по всему миру.
Уязвимости, получившие название Peekaboo, были обнаружены в программном обеспечении видеорегистраторов. Одна из них, имеющая номер CVE-2018-1149, состоит в том, что устройство не проверяет должным образом запросы пользователя. Атакующий может вызвать критическое переполнение буфера стека, чтобы далее вводить без аутентификации произвольный код. Вторая уязвимость, CVE-2018-1150, — это «задняя дверь». Определённый PHP-код позволяет неавторизованному злоумышленнику менять пароль любого зарегистрированного пользователя, кроме администратора системы.
Специалисты, обнаружившие уязвимости, оценили степень их опасности и протестировали их на примере устройства NUUO NVRMini 2 — IP-видеорегистратора с функцией сетевого хранилища.
Злоумышленник, использующий уязвимости Peekaboo, получает доступ к системе контроля и управления, в которой ему открыты учётные данные для доступа ко всем подключённым к ней телекамерам. Используя корневой доступ на устройстве NVRMini 2, хакер может отключить трансляцию живого изображения и изменить уже записанное. Например, он может заменить живое изображение на статическую картинку, дающую вид этой же сцены. Оператор будет думать, что на объекте ничего не происходит, и преступники проникнут туда незамеченными.
Компания NUUO — тайваньский производитель оборудования и программного обеспечения для систем видеонаблюдения. Она выпускает на OEM-основе оборудование для более чем 100 партнёров, в числе которых — Axis, Bosch, Dahua, Toshiba. Неизвестно, кто из партнёров компании использует уязвимые прошивки.
Продукция компания Axis Communications не затронута уязвимостями, найденными в IP-видеорегистраторах NUUO. С таким заявлением выступила пресс-служба Axis. Подчёркивается, что компания будет и дальше вести мониторинг данной ситуации.
RSS
Twitter
Telegram
LinkedIn
Facebook
Google+
ВКонтакте
YouTube
Одноклассники
LiveJournal