Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

“Peekaboo”: vulnerabilità critica in NUUO Network Video Recorder

backdoor  NVR  peekaboo  remote code execution   mercoledì, 19 settembre 2018

I ricercatori della società di sicurezza Tenable hanno scoperto due vulnerabilità, di cui una critica, nel software che equipaggia i prodotti della famiglia NUUO NVRmini 2, apparati di rete leggeri e portatili per la gestione di sistemi di video sorveglianza (NVR – Network Video Recorder), con funzione di NAS e supporto per terminali di pagamento PoS.

NUUO NVRmini 2

Fonte: NUUO Inc.

La vulnerabilità critica (CVE-2018-1149), battezzata dagli scopritori Peekaboo, è legata ad una condizione di tipo stack-based buffer overflow che consente l’esecuzione di codice arbitrario da remoto senza autenticazione. Se sfruttata con successo, questa vulnerabilità può consentire ad un attaccante di accedere con privilegi di root al sistema di gestione e controllo di un impianto di videosorveglianza ed ottenere le credenziali di tutte le telecamere connesse (CCTV e IP). Una volta ottenuto pieno accesso, l’attaccante è in grado di disconnettere la registrazione video delle aree sorvegliate o di manipolare le registrazioni ottenute.

La seconda vulnerabilità (CVE-2018-1150), considerata di media gravità, è legata alla presenza di una backdoor nel software che richiede l’accesso al dispositivo per essere attivata.

Le vulnerabilità scoperte hanno un impatto notevole, in considerazione sia della larga diffusione dei dispositivi NUUO vulnerabili (il produttore dichiara più di 100.000 installazioni in tutto il mondo), sia del fatto che il software che equipaggia questi dispositivi viene venduto su licenza a diversi partner commerciali ed integrato in sistemi di sorveglianza di terze parti. Considerando che ogni sistema NVRmini 2 può gestire fino a 16 telecamere connesse, il numero totale di dispositivi potenzialmente esposti può essere calcolato nell’ordine delle centinaia di migliaia.

Tenable ha informato NUUO della presenza di queste vulnerabilità e il produttore sta lavorando ad una patch. Si suggerisce ai gestori di sistemi di videosorveglianza basati su dispositivi NVRmini 2 di contattare il produttore per avere informazioni sulla disponibilità di aggiornamenti che risolvono le vulnerabilità descritte. Nell’attesa, si consiglia di verificare l’effettiva esposizione in rete dei dispositivi affetti e di mettere in atto contromisure che limitino l’accesso dall’esterno solo ad utenti legittimi e autorizzati.

Notizie correlate

Vulnerabilità multiple in PHP 7

13 febbraio 2019

Sono state scoperte diverse vulnerabilità in PHP 7 che potrebbero consentire ad un attaccante remoto di eseguire codice arbitrario nel contesto dell’applicazione affetta o di causare condizioni di denial of service.Leggi tutto

Aggiornamento di sicurezza Android (febbraio 2019)

6 febbraio 2019

Google ha rilasciato l'aggiornamento di sicurezza di febbraio che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto

Esecuzione di codice da remoto in Windows mediante file vCard

5 febbraio 2019

È stata resa nota l’esistenza di una vulnerabilità zero-day nel gestore contatti in formato vCard di Windows che può consentire l'esecuzione di codice da remoto.Leggi tutto