Wykorzystuj?c do dzi? nieza?atan? luk? w oprogramowaniu kamer, hakerzy korzystaj?c z narz?dzi zero-day exploit s? w stanie ?ledzi? nagrania video, i manipulowa? ich tre?ci?. Producent kamer deklaruje udost?pnienie aktualizacji.
Fakt ten ujawnili na swoim blogu analitycy bezpiecze?stwa z Tenable. W zamieszczonym po?cie wyja?niaj?, jak uda?o im si? wykry? mo?liwo?? zdalnego wykonania hakerskiego kodu na rejestratorach nadzoru video pracuj?cych w systemie IoT (internet rzeczy – ang. Internet of Things).
Luka w zabezpieczeniach, nazwana „Peekaboo”, znaleziona zosta?a w oprogramowaniu NUOO Network Video Recorder, zarz?dzaj?cym systemami telewizji przemys?owej (CCTV). Pozwala ona hakerom nie tylko na przegl?danie i modyfikowanie materia?u CCTV, ale tak?e na kradzie? danych, takich jak parametry uwierzytelniaj?ce dost?p do wszystkich kamer, adresy IP i inne informacje zwi?zane z urz?dzeniami.
Konsekwencje istnienia tej luki s? powa?ne z wielu powodów. Przede wszystkim skala problemu. NUUO jest czo?owym przedstawicielem bran?y nadzoru video. Urz?dzenia tej marki zosta?y wdro?one w ponad 100 tys. instalacji na ca?ym ?wiecie. Poza t? liczb? istnieje jeszcze wiele przedsi?biorstw, które nie s? ?wiadome tego, ?e ich systemy nadzoru korzystaj? z oprogramowania NUUO – jest ono zintegrowane równie? z wieloma systemami oferowanymi przez firmy trzecie. Niektóre szacunki wskazuj?, ?e w powszechnym u?yciu mo?e by? od 180 tys. do 800 tys. kamer CCTV, które s? podatne na dzia?anie „Peekaboo”.
Po drugie, wykorzystuj?c dost?p do root-a, hakerzy maj? potencjaln? mo?liwo?? przerwania prowadzonej na ?ywo transmisji video, a nawet ingerencji w jej tre??. Na przyk?ad zast?puj?c transmisj? live statycznym obrazem monitorowanej przestrzeni, umo?liwi? przest?pcom niekontrolowany dost?p do strze?onego obszaru – komentuje B?a?ej Pilecki, Bitdefender Product Manager z firmy Marken.
Analitycy z Tenable ograniczyli si? do podania komunikatu o usterce. Na razie nie publikuj? szczegó?ów, które mog?yby zosta? wykorzystane przez przest?pców. Zamiast tego w czerwcu poinformowali NUUO o problemie, deklaruj?c publicznie, ?e na wydanie ?aty b?d? czeka? przez 105 dni. Jak dot?d, ?ata si? nie pojawi?a.
Dobr? wiadomo?ci? jest to, ?e NUUO prawdopodobnie pracuje nad updatem. Z?? natomiast, ?e po udost?pnieniu ?aty zapewne oprogramowanie ka?dej z kamer b?dzie musia?o by? aktualizowane r?cznie. A to cz?sto oznacza, ?e nie zostanie przeprowadzone nigdy. Sprawy nie mo?na jednak lekcewa?y?, szczególnie ?e dotyczy wielu kamer pochodz?cych od innych producentów.
Na razie nie wiadomo, kiedy ?ata b?dzie dost?pna. Firmy posiadaj?ce sprz?t z oprogramowaniem uk?adowym NUUO, powinny wzmóc kontrol? dost?pu do sieci wyposa?onej w zagro?one kamery. Taki dost?p mog? mie? tylko zaufane osoby z oficjalnymi uprawnieniami, a nie atakuj?cy z dowolnego miejsca na ?wiecie hakerzy.
To nie jest pierwszy przypadek, kiedy sieciowe rejestratory video marki NUUO ukaza?y si? w z?ym ?wietle. W ubieg?ym roku urz?dzenie tego producenta znalaz?y si? na li?cie urz?dze? IoT atakowanych przez botnet Reaper.
