24 декабря, 2018

NUUO устраняет очередную уязвимость в прошивке своего видеорегистратора

24.12.2018

Компания NUUO занимается устранением уязвимости в её продукции, которую обнаружили в конце ноября специалисты из компании DIgital Defense. Уязвимость найдена в IP-видеорегистраторе с функцией сетевого хранилища NUUO NVRmini2.

Прошивка видеорегистратора, имеющая версию 3.9.1 или ниже, позволяет неавторизованному пользователю вызвать переполнение буфера. Чтобы добиться этого, злоумышленник должен составить определённый GET-запрос с URL длиной не менее чем 351 символ и отправить его на атакуемый видеорегистратор.

Переполнение буфера даст злоумышленнику возможность передавать в устройство произвольные команды с корневыми привилегиями, которые будут выполняться. В итоге атакующий сможет просматривать и модифицировать изображение с камер, подключённых к видеорегистратору. Кроме того, ему будет доступно изменение конфигурации видеорегистратора и содержимого его архива.

Более двух месяцев назад другая компания из сферы безопасности, Tenable Research, уже обнаружила две уязвимости в видеорегистраторах NUUO, получившие общее название Pekaboo. Одна из них также была связана с переполнением буфера.

Специалисты, обнаружившие уязвимость, отмечают, что компания NUUO быстро отреагировала на сообщение о результатах их изысканий. Она выпустила для видеорегистратора NVRmini2 аппаратную прошивку 3.10.0. Как сообщила компания DIgital Defense, в этой прошивке исправлена найденная ею уязвимость. По данным компании Tenable Research, заплатка для уязвимости, которую она обнаружила в сентябре, в новой прошивке также содержится.

Оба случая подтверждают, что тайваньская компания NUUO демонстрирует более ответственный подход к вопросам информационной безопасности, чем тот, которого все обычно ждут от производителей из материкового Китая. Пользователи видеорегистраторов получают от неё всю необходимую информацию о том, что нужно сделать, чтобы избежать риска подвергнуться атаке злоумышленников. Однако успех в деле восстановления защищённости видеорегистраторов в немалой степени зависит от того, насколько быстро пользователи и те, через кого они получают системы видеонаблюдения, узнают о проблеме и озаботятся её устранением.