I ricercatori di Tenable hanno recentemente scoperto due exploit zero-day presenti nel Network Video Recorder software della taiwanese NUOO: un unauthenticated stack buffer overflow (CVE-2018-1149) e una strana backdoor (CVE-2018-1150).
I modelli NUUO vulnerabili sono il NVRsolo, NVRsolo Plus, NVRmini 2. Tuttavia l’azienda fornisce il proprio software in white-labeling (stesso software, logo diverso) anche ad altri produttori, quindi non è possibile stabilire con certezza quante e quali telecamere siano vulnerabili. ZDNet afferma che il software è presente in oltre 2.500 linee di prodotto, mentre Threatpost stima che queste vulnerabilità mettano a rischio da 180.000 a 800.000 telecamere di oltre 100 produttori diversi. I “solution partners” di NUUO sono disponibili qui, ma questo non significa che anche i device di tali aziende siano vulnerabili.
Sappiamo però che nel 2010 l’azienda ha pubblicato un case study sull’aeroporto di Pisa, dove il software NUUO era stato installato per controllare 200 telecamere. Non è certo tuttavia che dopo otto anni l’aeroporto continui a utilizzare lo stesso programma.
La prima vulnerabilità è la più grave, perché lo stack buffer overflow consente a chiunque di iniettare codice arbitrario durante l’autenticazione, ottenendo quindi i diritti di root da remoto. Con i diritti di root un criminale può fare praticamente qualsiasi cosa: visualizzare aree riservate, interrompere il feed delle telecamere, oppure rimpiazzare il feed live con un’immagine statica in modo da poter entrare nella struttura senza essere visto.
Per questa vulnerabilità i ricercatori di Tenable hanno sviluppato una proof-of-concept.
La seconda vulnerabilità è una backdoor che si attiva solo se nel computer è presente un determinato file, ovvero /tmp/moses. Se tale file è presente la backdoor consente di elencare tutti gli utenti del sistema e cambiargli le password. Non è chiaro se questa backdoor sia opera di malintenzionati o semplice “codice dimenticato”.
Ieri la NUUO ha rilasciato un aggiornamento che chiude le vulnerabilità. Ora il problema è il patch dei dispositivi, infatti in una dichiarazione rilasciata a Threatpost Renaud Deraison, co-fondatore e CTO di Tenable, afferma che ogni telecamera andrà aggiornata manualmente, attività che in situazioni dove sono operative decine o centinaia di telecamere sarà tutt’altro che rapida.
