Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

“Peekaboo”: vulnerabilità critica in NUUO Network Video Recorder

backdoor  NVR  peekaboo  remote code execution   mercoledì, 19 settembre 2018

I ricercatori della società di sicurezza Tenable hanno scoperto due vulnerabilità, di cui una critica, nel software che equipaggia i prodotti della famiglia NUUO NVRmini 2, apparati di rete leggeri e portatili per la gestione di sistemi di video sorveglianza (NVR – Network Video Recorder), con funzione di NAS e supporto per terminali di pagamento PoS.

NUUO NVRmini 2

Fonte: NUUO Inc.

La vulnerabilità critica (CVE-2018-1149), battezzata dagli scopritori Peekaboo, è legata ad una condizione di tipo stack-based buffer overflow che consente l’esecuzione di codice arbitrario da remoto senza autenticazione. Se sfruttata con successo, questa vulnerabilità può consentire ad un attaccante di accedere con privilegi di root al sistema di gestione e controllo di un impianto di videosorveglianza ed ottenere le credenziali di tutte le telecamere connesse (CCTV e IP). Una volta ottenuto pieno accesso, l’attaccante è in grado di disconnettere la registrazione video delle aree sorvegliate o di manipolare le registrazioni ottenute.

La seconda vulnerabilità (CVE-2018-1150), considerata di media gravità, è legata alla presenza di una backdoor nel software che richiede l’accesso al dispositivo per essere attivata.

Le vulnerabilità scoperte hanno un impatto notevole, in considerazione sia della larga diffusione dei dispositivi NUUO vulnerabili (il produttore dichiara più di 100.000 installazioni in tutto il mondo), sia del fatto che il software che equipaggia questi dispositivi viene venduto su licenza a diversi partner commerciali ed integrato in sistemi di sorveglianza di terze parti. Considerando che ogni sistema NVRmini 2 può gestire fino a 16 telecamere connesse, il numero totale di dispositivi potenzialmente esposti può essere calcolato nell’ordine delle centinaia di migliaia.

Tenable ha informato NUUO della presenza di queste vulnerabilità e il produttore sta lavorando ad una patch. Si suggerisce ai gestori di sistemi di videosorveglianza basati su dispositivi NVRmini 2 di contattare il produttore per avere informazioni sulla disponibilità di aggiornamenti che risolvono le vulnerabilità descritte. Nell’attesa, si consiglia di verificare l’effettiva esposizione in rete dei dispositivi affetti e di mettere in atto contromisure che limitino l’accesso dall’esterno solo ad utenti legittimi e autorizzati.

Notizie correlate

“DarthMiner”: malware per macOS con funzioni di backdoor e cryptominer

11 dicembre 2018

I ricercatori di sicurezza di Malwarebytes hanno individuato un nuovo malware per macOS, battezzato DarthMiner, che combina le funzionalità della backdoor EmPyre e del cryptominer XMRig.Leggi tutto

Vulnerabilità multiple in PHP

10 dicembre 2018

Sono state scoperte diverse vulnerabilità in PHP 5 e 7 che potrebbero consentire ad un attaccante remoto di eseguire codice arbitrario nel contesto dell’applicazione affetta o di causare condizioni di denial of service.Leggi tutto

Adobe risolve vulnerabilità critica 0-day in Adobe Flash Player

6 dicembre 2018

Adobe ha rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità critica zero-day in Flash Player e una vulnerabilità di gravità elevata nell'installer di Flash Player.Leggi tutto