Abo
  • IT-Karriere:

Zero-Day: Überwachungskameras können übernommen und manipuliert werden

Sicherheitslücken ermöglichen den Zugriff und die Manipulation von Videoüberwachungsbildern in Banken, Kauf- und Krankenhäusern. Der betroffene Hersteller Nuuo hat Patches angekündigt. Aufgrund von Lizenzierungen sind auch Produkte anderer Firmen verwundbar.

Artikel veröffentlicht am , Moritz Tremmel
Wegen Sicherheitslücken in einer Videoüberwachungssoftware kann auf die Bilder der Kameras zugegriffen werden.
Wegen Sicherheitslücken in einer Videoüberwachungssoftware kann auf die Bilder der Kameras zugegriffen werden. (Bild: Alexandre Dulaunoy/CC-BY-SA 2.0)

Die Sicherheitsfirma Tenable hat mehrere schwerwiegende Sicherheitslücken in einer Verwaltungssoftware für Videoüberwachungskameras von Nuuo gefunden. Die betroffene Firma verkauft Überwachungssysteme an Großkunden wie Banken und Einkaufszentren. Die Sicherheitslücken machen es möglich, unautorisiert auf die Videodaten zuzugreifen und sie zu manipulieren. Beispielsweise können andere oder ältere Videodaten eingespielt oder die Kameras deaktiviert werden. Geräte, die die Software lizenzieren, sind ebenfalls angreifbar.

Stellenmarkt
  1. Computacenter AG & Co. oHG, verschiedene Standorte
  2. BWI GmbH, Berlin, München, Nürnberg, Rheinbach

Die Lücke wird von Tenable "Peekaboo" genannt. Betroffen ist die Software des Nuuo NVRMini2, eines Netzwerkvideorekorders, der die Aufnahmen von mehreren Videoüberwachungskameras speichern und in einer Weboberfläche verwalten und abspielen kann. Der dahinterliegende Webserver weist mehrere schwerwiegende Sicherheitslücken auf. Das Session-Management wird über CGI-Binaries geregelt, die Benutzereingaben nicht validieren. Hier kann mit einem Stack-Overflow Schadcode ausgeführt werden (CVE-2018-1149). Eine Hintertür im PHP-Code erlaubt zudem, ohne Authentifizierung das Passwort beliebiger Nutzeraccounts mit Ausnahme des Administratoraccounts auf dem Gerät zu ändern (CVE-2018-1150).

Tenable hat zwei Exploits auf Github veröffentlicht. Die beiden Python-Skripte greifen den Nuuo NVRMini2 an, öffnen einen Telnet-Zugang, lesen die Zugangsdaten der mit dem Netzwerkvideorekorder verbundenen Kameras aus, erstellen einen versteckten Admin-Account oder trennen alle Kameras, die zum fraglichen Zeitpunkt mit dem NVRMini2 verbunden sind.

Neben dem NVRMini2 dürften noch deutlich mehr Geräte, nämlich die anderer Hersteller, betroffen sein: Denn Nuuo lizenziert seine Software an mehr als 100 Firmen und 2.500 Kameramodelle. Die Geräte und damit die betroffene Software werden weltweit eingesetzt und verwalten die Videoüberwachungssysteme von Banken, Krankenhäusern, Schulen, Kaufhäusern und vielen mehr.

Nuuo wurde bereits am 1. Juni über die Sicherheitslücke informiert und wollte bis 13. September einen Patch liefern. Der Patch wurde um fünf Tage verschoben und soll am heutigen 18. September mit der Firmware-Version 3.9.0.1 zur Verfügung stehen. Um die Firmware herunterladen zu können, muss man sich beim Hersteller registrieren. Ob und wann die Lizenznehmer ebenfalls Updates herausgeben, ist unklar. Tenable empfiehlt den Netzwerkzugriff auf betroffene Geräte einzuschränken und zu kontrollieren.

Nachtrag vom 19. September 2018, 16:30 Uhr

Nuuo hat mittlerweile Patches veröffentlicht. Ob und wann Updates für die Geräte anderer Hersteller mit lizenzierter Nuoo-Software erscheinen, bleibt weiter unklar.



Anzeige
Top-Angebote
  1. Notebooks, PCs und Monitore reduziert
  2. (u. a. Sandisk Plus 1-TB-SSD für 88€, WD Elements Desktop 4 TB für 79€)
  3. 219,99€
  4. 279€ (Bestpreis!)

Anonymer Nutzer 18. Sep 2018

.

Icestorm 18. Sep 2018

Bilder der Videokameras ganzer Städte können abgefragt und manipuliert werden. Dem...

systemnutzer 18. Sep 2018

Die Share-Economy möchte vieles teilen. In der Wirtschaft versteht man es anders; man...


Folgen Sie uns
       


Bose Frames im Test

Die Sonnenbrille Frames von Bose hat integrierte Lautsprecher, die den Träger mit Musik beschallen können. Besonders im Straßenverkehr ist das offene Konzept praktisch.

Bose Frames im Test Video aufrufen
Endpoint Security: IT-Sicherheit ist ein Cocktail mit vielen Zutaten
Endpoint Security
IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Tausende Geräte in hundert verschiedenen Modellen mit Dutzenden unterschiedlichen Betriebssystemen. Das ist in großen Unternehmen Alltag und stellt alle, die für die IT-Sicherheit zuständig sind, vor Herausforderungen.
Von Anna Biselli

  1. Datendiebstahl Kundendaten zahlreicher deutscher Firmen offen im Netz
  2. Metro & Dish Tisch-Reservierung auf Google übernehmen
  3. Identitätsdiebstahl SIM-Dieb kommt zehn Jahre in Haft

Energie: Wo die Wasserstoffqualität getestet wird
Energie
Wo die Wasserstoffqualität getestet wird

Damit eine Brennstoffzelle einwandfrei arbeitet, braucht sie sauberen Wasserstoff. Wie aber lassen sich Verunreinigungen bis auf ein milliardstel Teil erfassen? Am Testfeld Wasserstoff in Duisburg wird das erprobt - und andere Technik für die Wasserstoffwirtschaft.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen
  3. Klimaschutz Großbritannien probt für den Kohleausstieg

Mobilfunktarife fürs IoT: Die Dinge ins Internet bringen
Mobilfunktarife fürs IoT
Die Dinge ins Internet bringen

Kabellos per Mobilfunk bringt man smarte Geräte am leichtesten ins Internet der Dinge. Dafür haben deutsche Netzanbieter Angebote für Unternehmen wie auch für Privatkunden.
Von Jan Raehm

  1. Smart Lock Forscher hacken Türschlösser mit einfachen Mitteln
  2. Brickerbot 2.0 Neue Schadsoftware möchte IoT-Geräte zerstören
  3. Abus-Alarmanlage RFID-Schlüssel lassen sich klonen

    •  /