Prej neznana varnostna napaka v programski opremi Nuuo naj bi vplivala na sto tisoče naprav po vsem svetu.
Ranljivost ničelnega dne, prisotna v varnostnih kamerah in nadzorni opremi, ki uporablja programsko opremo Nuuo, naj bi vplivala na sto tisoče naprav po vsem svetu.
Varnost
- 8 navad zelo varnih delavcev na daljavo
- Kako najti in odstraniti vohunsko programsko opremo iz telefona
- Najboljše storitve VPN: Kakšna je primerjava najboljših 5?
- Kako ugotoviti, ali ste vpleteni v kršitev podatkov – in kaj storiti naprej
Raziskovalci iz podjetja za kibernetsko varnost Vzdržljivo je razkril hrošč, ki je bil dodeljen kot CVE-2018-1149.
Raziskovalci pravijo, da ranljivost ne more biti veliko resnejša, saj napadalcem omogoča oddaljeno izvajanje kode v programski opremi. v varnostnem svetovanju v ponedeljek.
Nuuo, ki se opisuje kot ponudnik programske opreme za "zaupanja vredno upravljanje videa", ponuja vrsto videoposnetkov rešitve za nadzorne sisteme v panogah, vključno s transportom, bančništvom, vlado in stanovanjska območja.
Poimenovana "Peekaboo," ranljivost zero-day stack buffer overflow, ko je izkoriščena, akterjem groženj omogoča ogled in poseganje v videonadzorne posnetke in vire. Napako je mogoče uporabiti tudi za krajo podatkov, vključno s poverilnicami, naslovi IP, uporabo vrat ter znamko in modele povezanih nadzornih naprav.
Takšna varnostna ranljivost ima obsežne posledice v resničnem svetu – kot bi jih lahko povzročili kriminalci ogrozijo vir nadzorne kamere, zamenjajo posnetek s statično sliko in napadejo prostore, za primer.
Poleg tega bi hrošča lahko uporabili za popolno onemogočanje kamer in izdelkov za nadzor.
Peekaboo posebej vpliva na NVRMini 2 NAS in omrežni video snemalnik, ki deluje kot središče za povezane izdelke za nadzor. Izdelek je ob izkoriščanju dovoljeval dostop do vmesnika sistema za upravljanje nadzora (CMS), ki dodatno izpostavi poverilnice vseh povezanih videonadzornih kamer, povezanih s shrambo sistem.
Gavin Millard, podpredsednik oddelka za obveščanje o grožnjah pri Tenable, je v pogovoru za ZDNet dejal, da organizacije po vsem svetu uporabljajo programsko opremo Nuuo, tudi v nakupovalnih središčih, bolnišnicah, bankah in na javnih površinah.
Vendar pa je v tem težava - ker je programska oprema belo označena tudi za več kot 100 blagovnih znamk in 2500 linij izdelkov za fotoaparate.
TechRepublic: 4 nasveti za načrtovanje in namestitev nadzornega sistema v vašem podjetju
Zato Millard pravi, da "predhodne ocene kažejo, da bi lahko Peekaboo vplival na do sto tisoče spletnih kamer in naprav po vsem svetu."
Poglej tudi: Zora pametnih nadzornih kamer
Nadaljnje tehnične podrobnosti niso bile objavljene, ker zero-day ostaja nepopravljen. Vendar so vdelane programske opreme Nuuo različice 3.9.0 in starejše ranljive.
"Naš svet temelji na tehnologiji. Pomaga nam pri spremljanju, nadzoru in sodelovanju drug z drugim in z našim okoljem. In to je eden od mnogih razlogov, da smo v zadnjem času opazili velik porast povezanih naprav,« je povedal Renaud Deraison, soustanovitelj in glavni tehnološki direktor Tenable. "[...] Ko je več naprav IoT na spletu, se površina napadov širi in predstavlja nova tveganja tako za potrošnike kot za organizacije."
CNET: Najboljše domače varnostne kamere za leto 2018
Tenable je Nuuu razkril ranljivost ničelnega dne. Popravek ni bil izdan, vendar Nuuo trenutno razvija popravek za uvedbo.
A vključiti je izdal tudi Tenable, da lahko organizacije ocenijo, ali so ranljive za Peekaboo ali ne.
ZDNet se je obrnil na Nuuo in bo posodobil, če se nam oglasi.
Kako odkriti in uničiti vohunsko programsko opremo na pametnem telefonu (v slikah)
Prejšnja in sorodna pokritost
- Ranljivosti v teh IoT kamerah bi lahko napadalcem omogočile popoln nadzor, opozarjajo raziskovalci
- Podjetje za vohunsko programsko opremo SpyFone pušča podatke o strankah in posnetke na spletu
- 10 notranjih varnostnih kamer za pametnejši dom ali pisarno