Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

“Peekaboo”: vulnerabilità critica in NUUO Network Video Recorder

backdoor  NVR  peekaboo  remote code execution   mercoledì, 19 settembre 2018

I ricercatori della società di sicurezza Tenable hanno scoperto due vulnerabilità, di cui una critica, nel software che equipaggia i prodotti della famiglia NUUO NVRmini 2, apparati di rete leggeri e portatili per la gestione di sistemi di video sorveglianza (NVR – Network Video Recorder), con funzione di NAS e supporto per terminali di pagamento PoS.

NUUO NVRmini 2

Fonte: NUUO Inc.

La vulnerabilità critica (CVE-2018-1149), battezzata dagli scopritori Peekaboo, è legata ad una condizione di tipo stack-based buffer overflow che consente l’esecuzione di codice arbitrario da remoto senza autenticazione. Se sfruttata con successo, questa vulnerabilità può consentire ad un attaccante di accedere con privilegi di root al sistema di gestione e controllo di un impianto di videosorveglianza ed ottenere le credenziali di tutte le telecamere connesse (CCTV e IP). Una volta ottenuto pieno accesso, l’attaccante è in grado di disconnettere la registrazione video delle aree sorvegliate o di manipolare le registrazioni ottenute.

La seconda vulnerabilità (CVE-2018-1150), considerata di media gravità, è legata alla presenza di una backdoor nel software che richiede l’accesso al dispositivo per essere attivata.

Le vulnerabilità scoperte hanno un impatto notevole, in considerazione sia della larga diffusione dei dispositivi NUUO vulnerabili (il produttore dichiara più di 100.000 installazioni in tutto il mondo), sia del fatto che il software che equipaggia questi dispositivi viene venduto su licenza a diversi partner commerciali ed integrato in sistemi di sorveglianza di terze parti. Considerando che ogni sistema NVRmini 2 può gestire fino a 16 telecamere connesse, il numero totale di dispositivi potenzialmente esposti può essere calcolato nell’ordine delle centinaia di migliaia.

Tenable ha informato NUUO della presenza di queste vulnerabilità e il produttore sta lavorando ad una patch. Si suggerisce ai gestori di sistemi di videosorveglianza basati su dispositivi NVRmini 2 di contattare il produttore per avere informazioni sulla disponibilità di aggiornamenti che risolvono le vulnerabilità descritte. Nell’attesa, si consiglia di verificare l’effettiva esposizione in rete dei dispositivi affetti e di mettere in atto contromisure che limitino l’accesso dall’esterno solo ad utenti legittimi e autorizzati.

Notizie correlate

Vulnerabilità critica in libreria per lo streaming usata in media player molto diffusi

22 ottobre 2018

I ricercatori di Cisco Talos ha rivelato l'esistenza di una vulnerabilità critica nel pacchetto software LIVE555 Streaming Media, una collezione di librerie per lo streaming utilizzata in media player come VLC e MPlayer.Leggi tutto

Aggiornamento di sicurezza critico per Drupal 7 e 8

18 ottobre 2018

È stato rilasciato un aggiornamento di sicurezza che risolve diverse vulnerabilità critiche nel codice "core" del noto CMS Drupal versione 7.x e 8.x.Leggi tutto

Disponibile aggiornamento per vulnerabilità “Peekaboo” in NVR NUUO

15 ottobre 2018

È stato recentemente rilasciato dal produttore NUUO un aggiornamento del firmware che risolve due vulnerabilità note, di cui una critica, in sistemi NVR della serie NVRmini 2 e NVRsolo.Leggi tutto