Luka zero-day NUUO pozwala hakerom dotrzeć do obrazów z kamer przemysłowych.
Nowe luki w oprogramowaniu systemu zabezpieczeń NUUO mogą postawić cyberprzestępców w roli reżysera. Luka, którą nazwano "Peekaboo" (ang. zabawa w "akuku") zapewnia hakerom pełną kontrolę nad wideo nadzorem. Przejmując zdalną kontrolę, haker może manipulować nagrywaniem, zarządzając nim przy samym źródle oraz wprowadzać dowolny kod do oprogramowania. Ta poważna luka w zabezpieczeniach naraża na atak setki tysięcy urządzeń na całym świecie, takich jak NUUO NVRMini2 oraz urządzenie NAS podłączonedo sieci.
Inną luką jest backdoor, który może zostać utworzony z kodu pozostałego po debugowania oprogramowania. Tak więc, wraz z dostępem do zarządzania systemami monitoringu, błędy pozwalają hakerom uzyskać wgląd do informacji o użytkownikach takich jak: dane logowania, adresy IP czy informacji na temat sprzętów czy wykorzystania portów. Biorąc pod uwagę, że NUUO wykorzystywany jest do nadzoru systemów monitorowania kompleksów mieszkalnych, czy w biznesie: na przykład branży bankowej, transporcie a nawet przez instytucje państwowe, mamy do czynienia z potężnym zagrożeniem.
Avast Security Evangelist Luis Corrons komentuje:
"Zawsze zalecamy, że urządzenia IoT muszą być chronione, aktualizowane, i odpowiednio zabezpieczone. Jednak luka Peekaboo może zagrozić kamerom wideo, nawet jeśli wszystkie te środki ostrożności zostały podjęte, ponieważ atakujący mogą uzyskać dane z NVRMini2. Innymi słowy, luka może zostać wykorzystana do stworzenia nowych armii botów IoT. "
Co więc można zrobić?
Jeśli korzystasz z systemów NVRMini2, Luis ma kilka rad: "Dopóki łatka nie zostanie udostępniona, upewnij się, że system jest odizolowany od internetu i że tylko uprawnieni pracownicy mogą uzyskać do niego dostęp przez sieć lokalną. Jeśli używasz rozwiązania od innego dostawcy, upewnij się, że nie korzysta ono z narażonego oprogramowania. NUUO oferuje je kilku dostawcom, takim jak OEM i whitelabel ".
NUUO potwierdza, że pracuje nad łatką bezpieczeństwa, chociaż nie ma jeszcze żadnych informacji, kiedy będzie ona dostępna. W międzyczasie eksperci Avast zalecają, aby w przypadku korzystania z technologii NUUO uświadomić sobie te nowe luki w zabezpieczeniach zero-day i zachować czujność, zwracając uwagę na wszelkie nietypowe zachowania oprogramowania.