Luka w setkach tysięcy kamer nadzoru pozwalająca hakerom fałszować nagrania
Wykorzystując do dziś niezałataną lukę w oprogramowaniu kamer, hakerzy korzystając z narzędzi zero-day exploit są w stanie śledzić nagrania wideo i manipulować ich treścią.
Fakt istnienia luki ujawnili na swoim blogu analitycy bezpieczeństwa z Tenable. W zamieszczonym poście wyjaśniają, jak udało im się wykryć możliwość zdalnego wykonania hakerskiego kodu na rejestratorach nadzoru wideo pracujących w systemie IoT (Internet of Things).
Luka w zabezpieczeniach, nazwana "Peekaboo", znaleziona została w oprogramowaniu NUOO Network Video Recorder, zarządzającym systemami telewizji przemysłowej (CCTV). Pozwala ona hakerom nie tylko na przeglądanie i modyfikowanie materiału CCTV, ale także na kradzież danych, takich jak parametry uwierzytelniające dostęp do wszystkich kamer, adresy IP i inne informacje związane z urządzeniami.
- Konsekwencje istnienia tej luki są poważne z wielu powodów. Przede wszystkim skala problemu. NUUO jest czołowym przedstawicielem branży nadzoru wideo. Urządzenia tej marki zostały wdrożone w ponad 100 tys. instalacji na całym świecie. Poza tą liczbą istnieje jeszcze wiele przedsiębiorstw, które nie są świadome tego, że ich systemy nadzoru korzystają z oprogramowania NUUO - jest ono zintegrowane również z wieloma systemami oferowanymi przez firmy trzecie. Niektóre szacunki wskazują, że w powszechnym użyciu może być od 180 tys. do 800 tys. kamer CCTV, które są podatne na działanie "Peekaboo". Po drugie, wykorzystując dostęp do root-a, hakerzy mają potencjalną możliwość przerwania prowadzonej na żywo transmisji wideo, a nawet ingerencji w jej treść. Na przykład zastępując transmisję live statycznym obrazem monitorowanej przestrzeni, umożliwić przestępcom niekontrolowany dostęp do strzeżonego obszaru - powiedział Błażej Pilecki, Bitdefender Product Manager z firmy Marken.
Analitycy z Tenable ograniczyli się do podania komunikatu o usterce. Na razie nie publikują szczegółów, które mogłyby zostać wykorzystane przez przestępców. Zamiast tego w czerwcu poinformowali NUUO o problemie, deklarując publicznie, że na wydanie łaty będą czekać przez 105 dni. Jak dotąd, łata się nie pojawiła.
Dobrą wiadomością jest to, że NUUO prawdopodobnie pracuje nad aktualizacją. Złą natomiast, że po udostępnieniu łaty zapewne oprogramowanie każdej z kamer będzie musiało być aktualizowane ręcznie. A to często oznacza, że nie zostanie przeprowadzone nigdy. Sprawy nie można jednak lekceważyć, szczególnie że dotyczy wielu kamer pochodzących od innych producentów.
Na razie nie wiadomo, kiedy łata będzie dostępna. Firmy posiadające sprzęt z oprogramowaniem układowym NUUO, powinny wzmóc kontrolę dostępu do sieci wyposażonej w zagrożone kamery. Taki dostęp mogą mieć tylko zaufane osoby z oficjalnymi uprawnieniami, a nie atakujący z dowolnego miejsca na świecie hakerzy.
To nie jest pierwszy przypadek, kiedy sieciowe rejestratory wideo marki NUUO ukazały się w złym świetle. W ubiegłym roku urządzenie tego producenta znalazły się na liście urządzeń IoT atakowanych przez botnet Reaper.
