Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Luka w setkach tysięcy kamer nadzoru pozwala przestępcom na oglądanie i fałszowanie nagrań

03-10-2018, 17:10

Wykorzystując niezałataną lukę w oprogramowaniu kamer, cyberprzestępcy przy pomocy narzędzi zero-day exploit są w stanie śledzić nagrania wideo i manipulować ich treścią. Producent kamer deklaruje udostępnienie aktualizacji.

Fakt ten ujawnili na swoim blogu analitycy bezpieczeństwa z Tenable. Luka w zabezpieczeniach, nazwana „Peekaboo”, znaleziona została w oprogramowaniu NUOO Network Video Recorder, zarządzającym systemami telewizji przemysłowej (CCTV). Pozwala ona nie tylko na przeglądanie i modyfikowanie materiału CCTV, ale także na kradzież danych, takich jak parametry uwierzytelniające dostęp do wszystkich kamer, adresy IP i inne informacje związane z urządzeniami.

Błażej Pilecki, Bitdefender Product Manager z firmy Marken, twierdzi, że konsekwencje istnienia tej luki są poważne z wielu powodów. Przede wszystkim ważna jest skala problemu. NUUO to czołowy przedstawiciel branży nadzoru wideo. Urządzenia tej marki zostały wdrożone w ponad 100 tys. instalacji na całym świecie. Poza tą liczbą istnieje jeszcze wiele przedsiębiorstw, które nie są świadome tego, że ich systemy nadzoru korzystają z oprogramowania NUUO – jest ono zintegrowane również z wieloma systemami oferowanymi przez firmy trzecie. Niektóre szacunki wskazują, że w powszechnym użyciu może być od 180 tys. do 800 tys. kamer CCTV, które są podatne na działanie „Peekaboo”. Po drugie, wykorzystując dostęp do root-a, przestępcy mają potencjalną możliwość przerwania prowadzonej na żywo transmisji wideo, a nawet ingerencji w jej treść. Na przykład zastępując transmisję live statycznym obrazem monitorowanej przestrzeni, co umożliwi przestępcom niekontrolowany dostęp do strzeżonego obszaru.

Analitycy z Tenable ograniczyli się do podania komunikatu o usterce. Na razie nie publikują szczegółów, które mogłyby zostać wykorzystane przez przestępców. Zamiast tego w czerwcu poinformowali NUUO o problemie, deklarując publicznie, że na wydanie łaty będą czekać przez 105 dni. Jak dotąd, łata się nie pojawiła.

Dobrą wiadomością jest to, że NUUO prawdopodobnie pracuje nad updatem. Złą natomiast, że po udostępnieniu łaty zapewne oprogramowanie każdej z kamer będzie musiało być aktualizowane ręcznie. A to często oznacza, że nie zostanie przeprowadzone nigdy. Sprawy nie można jednak lekceważyć, szczególnie że dotyczy wielu kamer pochodzących od innych producentów.

Na razie nie wiadomo, kiedy łata będzie dostępna. Firmy posiadające sprzęt z oprogramowaniem układowym NUUO, powinny wzmóc kontrolę dostępu do sieci wyposażonej w zagrożone kamery. Taki dostęp mogą mieć tylko zaufane osoby z oficjalnymi uprawnieniami, a nie atakujący z dowolnego miejsca na świecie hakerzy.

To nie jest pierwszy przypadek, kiedy sieciowe rejestratory video marki NUUO ukazały się w złym świetle. W ubiegłym roku urządzenie tego producenta znalazły się na liście urządzeń IoT atakowanych przez botnet Reaper.

Źródło: Bitdefender


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *              



Ostatnie artykuły:


fot. Samsung



fot. HONOR