Tenable Research descubre vulnerabilidad de día cero “Peekaboo” en el software global de video vigilancia

Tenable, la compañía de Cyber Exposure, ha anunciado  que su equipo de investigación ha descubierto una vulnerabilidad de día cero que permitiría a los ciberdelincuentes ver y manipular las grabaciones de video vigilancia a través de una vulnerabilidad de ejecución remota de código en el software de NUUO, uno de los principales proveedores de soluciones de video vigilancia a nivel mundial. La vulnerabilidad, apodada Peekaboo por Tenable Research, permitiría a los cibercriminales observar remotamente las transmisiones de video vigilancia y alterar las grabaciones utilizando privilegios de administrador. Por ejemplo, podrían reemplazar la transmisión en vivo con una imagen estática del área vigilada, permitiendo a los delincuentes a entrar en las instalaciones sin ser detectados por las cámaras.

El impacto de Peekaboo es significativo ya que NUUO se integra con cientos de marcas líderes. Su ecosistema de dispositivos compatibles significa que más de 100 marcas y 2,500 modelos diferentes de cámaras podrían ser vulneradas por el acceso que Peekaboo otorga a los nombres de usuario y contraseñas. Las estimaciones preliminares muestran que cientos de miles de cámaras podrían ser manipuladas y desconectadas en todo el mundo.

El software y los dispositivos de NUUO se utilizan comúnmente para el monitoreo y la vigilancia de videos basados ​​en web en industrias como la venta minorista, el transporte, la educación, el gobierno y la banca. El dispositivo vulnerable, NVRMini2, es un dispositivo de almacenamiento conectado a la red (NAS) y un grabador de video en red. Una vez explotado, Peekaboo les daría a los cibercriminales acceso al sistema de gestión de control (CMS), exponiendo las credenciales para todas las cámaras de video vigilancia conectadas. Al utilizar el acceso privilegiado en el dispositivo NVRMini2, los ciberdelincuentes podrían desconectar las transmisiones en vivo y alterar las grabaciones de seguridad. El año pasado, los dispositivos NUUO NVR fueron específicamente dirigidos por el  Botnet de IOT Reaper Reaper IoT Botnet.

Tenable Research reveló la vulnerabilidad a NUUO siguiendo los procedimientos estándar descritos en su política de divulgación de vulnerabilidades vulnerability disclosure policy,  que afecta a versiones de firmware anteriores a la 3.9.0. Hasta el 17 de septiembre el parche no ha sido emitido.

 NUUO informó a Tenable que se está desarrollando un parche y que los clientes afectados deben ponerse en contacto con ellos  para obtener más información. Mientras tanto, se insta a los usuarios a controlar y restringir el acceso a sus implementaciones NUUO NVRMini2 y limitar esto solo a usuarios legítimos de redes confiables. Los propietarios de dispositivos conectados directamente a Internet están especialmente en riesgo, ya que los posibles atacantes pueden explotar esta vulnerabilidad en sus sistemas directamente a través de Internet. Los usuarios finales afectados deben desconectar estos dispositivos de Internet hasta que se libere un parche. Desafortunadamente, muchos usuarios no serán conscientes de que sus dispositivos son vulnerables porque el software NUUO también está integrado con productos de otros fabricantes. En estos casos, los usuarios deben ponerse en contacto con sus proveedores de videovigilancia para confirmar si están expuestos y cuándo se lanzará un parche.

8