Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

“Peekaboo”: vulnerabilità critica in NUUO Network Video Recorder

backdoor  NVR  peekaboo  remote code execution   mercoledì, 19 settembre 2018

I ricercatori della società di sicurezza Tenable hanno scoperto due vulnerabilità, di cui una critica, nel software che equipaggia i prodotti della famiglia NUUO NVRmini 2, apparati di rete leggeri e portatili per la gestione di sistemi di video sorveglianza (NVR – Network Video Recorder), con funzione di NAS e supporto per terminali di pagamento PoS.

NUUO NVRmini 2

Fonte: NUUO Inc.

La vulnerabilità critica (CVE-2018-1149), battezzata dagli scopritori Peekaboo, è legata ad una condizione di tipo stack-based buffer overflow che consente l’esecuzione di codice arbitrario da remoto senza autenticazione. Se sfruttata con successo, questa vulnerabilità può consentire ad un attaccante di accedere con privilegi di root al sistema di gestione e controllo di un impianto di videosorveglianza ed ottenere le credenziali di tutte le telecamere connesse (CCTV e IP). Una volta ottenuto pieno accesso, l’attaccante è in grado di disconnettere la registrazione video delle aree sorvegliate o di manipolare le registrazioni ottenute.

La seconda vulnerabilità (CVE-2018-1150), considerata di media gravità, è legata alla presenza di una backdoor nel software che richiede l’accesso al dispositivo per essere attivata.

Le vulnerabilità scoperte hanno un impatto notevole, in considerazione sia della larga diffusione dei dispositivi NUUO vulnerabili (il produttore dichiara più di 100.000 installazioni in tutto il mondo), sia del fatto che il software che equipaggia questi dispositivi viene venduto su licenza a diversi partner commerciali ed integrato in sistemi di sorveglianza di terze parti. Considerando che ogni sistema NVRmini 2 può gestire fino a 16 telecamere connesse, il numero totale di dispositivi potenzialmente esposti può essere calcolato nell’ordine delle centinaia di migliaia.

Tenable ha informato NUUO della presenza di queste vulnerabilità e il produttore sta lavorando ad una patch. Si suggerisce ai gestori di sistemi di videosorveglianza basati su dispositivi NVRmini 2 di contattare il produttore per avere informazioni sulla disponibilità di aggiornamenti che risolvono le vulnerabilità descritte. Nell’attesa, si consiglia di verificare l’effettiva esposizione in rete dei dispositivi affetti e di mettere in atto contromisure che limitino l’accesso dall’esterno solo ad utenti legittimi e autorizzati.

Notizie correlate

Vulnerabilità in Apache Tomcat consente esecuzione di codice da remoto

17 aprile 2019

È stata scoperta una vulnerabilità di gravità elevata in Apache Tomcat che potrebbe consentire ad un attaccante remoto di eseguire codice arbitrario sui sistemi Microsoft Windows.Leggi tutto

Aggiornamenti di sicurezza per prodotti Juniper Networks (aprile 2019)

11 aprile 2019

Juniper Networks ha pubblicato una serie di bollettini di sicurezza relativi a vulnerabilità multiple scoperte in svariati prodotti software, tra cui alcune di gravità elevata in Junos OS.Leggi tutto

Vulnerabilità multiple in PHP 7

9 aprile 2019

Sono state scoperte diverse vulnerabilità in PHP 7 che potrebbero consentire ad un attaccante remoto di eseguire codice arbitrario nel contesto dell’applicazione affetta o di causare condizioni di denial of service.Leggi tutto