Zero-Day: Überwachungskameras können übernommen und manipuliert werden
Sicherheitslücken ermöglichen den Zugriff und die Manipulation von Videoüberwachungsbildern in Banken, Kauf- und Krankenhäusern. Der betroffene Hersteller Nuuo hat Patches angekündigt. Aufgrund von Lizenzierungen sind auch Produkte anderer Firmen verwundbar.
Die Sicherheitsfirma Tenable hat mehrere schwerwiegende Sicherheitslücken in einer Verwaltungssoftware für Videoüberwachungskameras von Nuuo gefunden. Die betroffene Firma verkauft Überwachungssysteme an Großkunden wie Banken und Einkaufszentren. Die Sicherheitslücken machen es möglich, unautorisiert auf die Videodaten zuzugreifen und sie zu manipulieren. Beispielsweise können andere oder ältere Videodaten eingespielt oder die Kameras deaktiviert werden. Geräte, die die Software lizenzieren, sind ebenfalls angreifbar.
Die Lücke wird von Tenable "Peekaboo" genannt. Betroffen ist die Software des Nuuo NVRMini2, eines Netzwerkvideorekorders, der die Aufnahmen von mehreren Videoüberwachungskameras speichern und in einer Weboberfläche verwalten und abspielen kann. Der dahinterliegende Webserver weist mehrere schwerwiegende Sicherheitslücken auf. Das Session-Management wird über CGI-Binaries geregelt, die Benutzereingaben nicht validieren. Hier kann mit einem Stack-Overflow Schadcode ausgeführt werden (CVE-2018-1149). Eine Hintertür im PHP-Code erlaubt zudem, ohne Authentifizierung das Passwort beliebiger Nutzeraccounts mit Ausnahme des Administratoraccounts auf dem Gerät zu ändern (CVE-2018-1150).
Tenable hat zwei Exploits auf Github veröffentlicht. Die beiden Python-Skripte greifen den Nuuo NVRMini2 an, öffnen einen Telnet-Zugang, lesen die Zugangsdaten der mit dem Netzwerkvideorekorder verbundenen Kameras aus, erstellen einen versteckten Admin-Account oder trennen alle Kameras, die zum fraglichen Zeitpunkt mit dem NVRMini2 verbunden sind.
Neben dem NVRMini2 dürften noch deutlich mehr Geräte, nämlich die anderer Hersteller, betroffen sein: Denn Nuuo lizenziert seine Software an mehr als 100 Firmen und 2.500 Kameramodelle. Die Geräte und damit die betroffene Software werden weltweit eingesetzt und verwalten die Videoüberwachungssysteme von Banken, Krankenhäusern, Schulen, Kaufhäusern und vielen mehr.
Nuuo wurde bereits am 1. Juni über die Sicherheitslücke informiert und wollte bis 13. September einen Patch liefern. Der Patch wurde um fünf Tage verschoben und soll am heutigen 18. September mit der Firmware-Version 3.9.0.1 zur Verfügung stehen. Um die Firmware herunterladen zu können, muss man sich beim Hersteller registrieren. Ob und wann die Lizenznehmer ebenfalls Updates herausgeben, ist unklar. Tenable empfiehlt den Netzwerkzugriff auf betroffene Geräte einzuschränken und zu kontrollieren.
Nachtrag vom 19. September 2018, 16:30 Uhr
Nuuo hat mittlerweile Patches veröffentlicht. Ob und wann Updates für die Geräte anderer Hersteller mit lizenzierter Nuoo-Software erscheinen, bleibt weiter unklar.
.
Bilder der Videokameras ganzer Städte können abgefragt und manipuliert werden. Dem...
Die Share-Economy möchte vieles teilen. In der Wirtschaft versteht man es anders; man...