Ups, Wielki Brat Cię śledzi!

Avast Security News Team, 19 września 2018

Luka zero-day NUUO pozwala hakerom dotrzeć do obrazów z kamer przemysłowych.

Nowe luki w oprogramowaniu systemu zabezpieczeń NUUO mogą postawić cyberprzestępców w roli reżysera. Luka, którą nazwano "Peekaboo" (ang. zabawa w "akuku") zapewnia hakerom pełną kontrolę nad wideo nadzorem. Przejmując zdalną kontrolę, haker może manipulować nagrywaniem, zarządzając nim przy samym źródle oraz wprowadzać dowolny kod do oprogramowania. Ta poważna luka w zabezpieczeniach naraża na atak setki tysięcy urządzeń na całym świecie, takich jak NUUO NVRMini2 oraz urządzenie NAS podłączonedo sieci.

Inną luką jest backdoor, który może zostać utworzony z kodu pozostałego po  debugowania oprogramowania. Tak więc, wraz z dostępem do zarządzania systemami monitoringu, błędy pozwalają hakerom uzyskać wgląd do informacji o użytkownikach takich jak: dane logowania, adresy IP czy informacji na temat sprzętów czy wykorzystania portów. Biorąc pod uwagę, że NUUO wykorzystywany jest do nadzoru systemów monitorowania kompleksów mieszkalnych, czy w biznesie: na przykład branży bankowej, transporcie a nawet przez instytucje państwowe, mamy do czynienia z potężnym zagrożeniem.

Avast Security Evangelist Luis Corrons komentuje:

"Zawsze zalecamy, że urządzenia IoT muszą być chronione, aktualizowane, i odpowiednio zabezpieczone. Jednak luka Peekaboo może zagrozić kamerom wideo, nawet jeśli wszystkie te środki ostrożności zostały podjęte, ponieważ atakujący mogą uzyskać dane z NVRMini2. Innymi słowy, luka może zostać wykorzystana do stworzenia nowych armii botów IoT. "

Co więc można zrobić?

Jeśli korzystasz z systemów NVRMini2, Luis ma kilka rad: "Dopóki łatka nie zostanie udostępniona, upewnij się, że system jest odizolowany od internetu i że tylko uprawnieni pracownicy mogą uzyskać do niego dostęp przez sieć lokalną. Jeśli używasz rozwiązania od innego dostawcy, upewnij się, że nie korzysta ono z narażonego oprogramowania.  NUUO oferuje je kilku dostawcom, takim jak OEM i whitelabel ".

NUUO potwierdza, że pracuje nad łatką bezpieczeństwa, chociaż nie ma jeszcze żadnych informacji, kiedy będzie ona dostępna. W międzyczasie eksperci Avast zalecają, aby w przypadku korzystania z technologii NUUO uświadomić sobie te nowe luki w zabezpieczeniach zero-day i zachować czujność, zwracając uwagę na wszelkie nietypowe zachowania oprogramowania.

Powiązane artykuły