Pesquisadores da Tenable descobriram recentemente uma vulnerabilidade crítica, chamada Peekaboo, que afeta o software usado para a gravação de vídeo e faz parte de uma solução das câmeras de segurança CCTV da NUUO. Essa falha permite que um cibercriminoso possa acessar os registros de vídeo e alterar as gravações das câmeras ao executar um código malicioso de forma remota. A empresa já lançou um patch para corrigir esta vulnerabilidade que pode ser baixada através do site oficial da NUUO.
A vulnerabilidade afeta o software usado pelo NVRMini2, que é um dispositivo de armazenamento de rede que grava vídeo em formato digital e é usado para câmeras de segurança CCTV oferecidas pela empresa. Uma vez explorada, permitiria que um atacante acessasse o sistema de controle, o que equivale a acessar as credenciais de todas as câmeras de segurança conectadas, desconectando-as e fazendo alterações nas gravações das gravações.
Com o CVE-2018-1149, essa vulnerabilidade de buffer overflow permite um ataque que possibilita o acesso ao Common Gateway Interface (CGI) que usa o servidor web da câmera, que atua como ponto intermediário entre um usuário remoto e o servidor web. De acordo com a pesquisa, o CGI não valida adequadamente o acesso do usuário e permite que o mesmo possa acessar a uma parte do servidor web da câmera e executar código de forma arbitrária.
Além disso, uma segunda vulnerabilidade (CVE-2018-1150) se aproveita de uma falha no aplicativo NVRMini2 que contém um backdoor que pode ser usado por um cibercriminoso para se conectar ao servidor web. Uma vez que o backdoor é habilitado dentro do código PHP, ele permite que um invasor não autenticado modifique as senhas de qualquer usuário registrado, exceto do administrador do sistema.
A NUUO é uma empresa líder no setor de vigilância por vídeo e esse tipo de dispositivo conta com mais de 100.000 instalações em todo o mundo. Além disso, seu software é usado por outros sistemas de vigilância. Nesse sentido, tendo em conta que com a solução NVRmini 2 é possível conectar até 16 câmeras CCTV, o número de dispositivos que podem ser afetados é de centenas de milhares.
A empresa anunciou em um comunicado as atualizações correspondentes que devem ser instaladas manualmente para evitar ser vítima da exploração dessas vulnerabilidades.