Descubre una vulnerabilidad que permite a un atacante manipular las cámaras de CCTV

Los investigadores descubrieron una vulnerabilidad en el software de la firma NUUO utilizado para cámaras de seguridad CCTV que permitía a terceros espiar, manipular videos e implantar malware. La compañía ya tiró un parche que repara el fallo.

Los investigadores de Tenable descubrieron recientemente una vulnerabilidad crítica llamada Peekaboo, que afecta el software utilizado para grabar videos y es parte de una solución para cámaras de seguridad CCTV que ofrece la firma NUUO. Esta falla permitiría a un atacante acceder a los registros de video y alterar las grabaciones mientras puede ejecutar un código malicioso de forma remota. La compañía lanzó un parche para solucionar esta vulnerabilidad que se puede descargar desde el sitio oficial.

La vulnerabilidad afecta el software utilizado por NVRMini2, que es un dispositivo de almacenamiento en red que graba video en formato digital y se usa para cámaras de seguridad CCTV. Una vez explotada, permitiría a un atacante acceder al sistema de control, lo que equivale a acceder a las credenciales de todas las cámaras de seguridad conectadas, desconectarlas y realizar cambios en los registros de grabación.

Asignada a CVE-2018-1149, esta vulnerabilidad de desbordamiento de búfer permitiría realizar un ataque que permitiría el acceso a la Interfaz Común de Entrada (CGI, por sus siglas en inglés) que utiliza el servidor web de la cámara, que actúa como punto intermedio entre un usuario remoto y el servidor web. Según la investigación, el CGI no valida correctamente la entrada del usuario y permite acceder a una parte del servidor web de la cámara y ejecutar código de manera arbitraria.

Además, una segunda vulnerabilidad (CVE-2018-1150) aprovecha una falla en la aplicación NVRMini2 que contiene una puerta trasera que un atacante puede usar para conectarse al servidor web. Una vez que se habilita la puerta trasera dentro del código PHP, permite que un atacante no autenticado modifique las contraseñas de cualquier usuario registrado, excepto el administrador del sistema.

NUUO es una empresa líder en la industria de la videovigilancia y este tipo de dispositivos cuenta con más de 100.000 instalaciones en todo el mundo. Además, su software es utilizado por sistemas de vigilancia de terceros. En este sentido, teniendo en cuenta que con la solución NVRmini 2 es posible tener conectadas hasta 16 cámaras CCTV, la cantidad de dispositivos que pueden verse afectados es de cientos de kilómetros.

La empresa anunció en un comunicado las correspondientes actualizaciones que deben instalarse manualmente para evitar ser víctima de la explotación de estas vulnerabilidades.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!