Abo
  • Services:

Zero-Day: Überwachungskameras können übernommen und manipuliert werden

Sicherheitslücken ermöglichen den Zugriff und die Manipulation von Videoüberwachungsbildern in Banken, Kauf- und Krankenhäusern. Der betroffene Hersteller Nuuo hat Patches angekündigt. Aufgrund von Lizenzierungen sind auch Produkte anderer Firmen verwundbar.

Artikel veröffentlicht am , Moritz Tremmel
Wegen Sicherheitslücken in einer Videoüberwachungssoftware kann auf die Bilder der Kameras zugegriffen werden.
Wegen Sicherheitslücken in einer Videoüberwachungssoftware kann auf die Bilder der Kameras zugegriffen werden. (Bild: Alexandre Dulaunoy/CC-BY-SA 2.0)

Die Sicherheitsfirma Tenable hat mehrere schwerwiegende Sicherheitslücken in einer Verwaltungssoftware für Videoüberwachungskameras von Nuuo gefunden. Die betroffene Firma verkauft Überwachungssysteme an Großkunden wie Banken und Einkaufszentren. Die Sicherheitslücken machen es möglich, unautorisiert auf die Videodaten zuzugreifen und sie zu manipulieren. Beispielsweise können andere oder ältere Videodaten eingespielt oder die Kameras deaktiviert werden. Geräte, die die Software lizenzieren, sind ebenfalls angreifbar.

Stellenmarkt
  1. Hays AG, Bayern
  2. TÜV SÜD Gruppe, München

Die Lücke wird von Tenable "Peekaboo" genannt. Betroffen ist die Software des Nuuo NVRMini2, eines Netzwerkvideorekorders, der die Aufnahmen von mehreren Videoüberwachungskameras speichern und in einer Weboberfläche verwalten und abspielen kann. Der dahinterliegende Webserver weist mehrere schwerwiegende Sicherheitslücken auf. Das Session-Management wird über CGI-Binaries geregelt, die Benutzereingaben nicht validieren. Hier kann mit einem Stack-Overflow Schadcode ausgeführt werden (CVE-2018-1149). Eine Hintertür im PHP-Code erlaubt zudem, ohne Authentifizierung das Passwort beliebiger Nutzeraccounts mit Ausnahme des Administratoraccounts auf dem Gerät zu ändern (CVE-2018-1150).

Tenable hat zwei Exploits auf Github veröffentlicht. Die beiden Python-Skripte greifen den Nuuo NVRMini2 an, öffnen einen Telnet-Zugang, lesen die Zugangsdaten der mit dem Netzwerkvideorekorder verbundenen Kameras aus, erstellen einen versteckten Admin-Account oder trennen alle Kameras, die zum fraglichen Zeitpunkt mit dem NVRMini2 verbunden sind.

Neben dem NVRMini2 dürften noch deutlich mehr Geräte, nämlich die anderer Hersteller, betroffen sein: Denn Nuuo lizenziert seine Software an mehr als 100 Firmen und 2.500 Kameramodelle. Die Geräte und damit die betroffene Software werden weltweit eingesetzt und verwalten die Videoüberwachungssysteme von Banken, Krankenhäusern, Schulen, Kaufhäusern und vielen mehr.

Nuuo wurde bereits am 1. Juni über die Sicherheitslücke informiert und wollte bis 13. September einen Patch liefern. Der Patch wurde um fünf Tage verschoben und soll am heutigen 18. September mit der Firmware-Version 3.9.0.1 zur Verfügung stehen. Um die Firmware herunterladen zu können, muss man sich beim Hersteller registrieren. Ob und wann die Lizenznehmer ebenfalls Updates herausgeben, ist unklar. Tenable empfiehlt den Netzwerkzugriff auf betroffene Geräte einzuschränken und zu kontrollieren.

Nachtrag vom 19. September 2018, 16:30 Uhr

Nuuo hat mittlerweile Patches veröffentlicht. Ob und wann Updates für die Geräte anderer Hersteller mit lizenzierter Nuoo-Software erscheinen, bleibt weiter unklar.



Anzeige
Top-Angebote
  1. (u. a. Far Cry New Dawn 22,49€, Assassin's Creed Odyssey 29,99€)
  2. 62,90€
  3. 34,99€
  4. (u. a. Gartengeräte von Bosch, Saug- und Wischroboter)

Prinzeumel 18. Sep 2018

.

Icestorm 18. Sep 2018

Bilder der Videokameras ganzer Städte können abgefragt und manipuliert werden. Dem...

systemnutzer 18. Sep 2018

Die Share-Economy möchte vieles teilen. In der Wirtschaft versteht man es anders; man...


Folgen Sie uns
       


Tesla Model 3 - Test

Das Tesla Model 3 ist seit Mitte Februar 2019 in Deutschland erhältlich. Wir sind es gefahren.

Tesla Model 3 - Test Video aufrufen
Uploadfilter: Voss stellt Existenz von Youtube infrage
Uploadfilter
Voss stellt Existenz von Youtube infrage

Gut zwei Wochen vor der endgültigen Abstimmung über Uploadfilter stehen sich Befürworter und Gegner weiter unversöhnlich gegenüber. Verhandlungsführer Voss hat offenbar kein Problem damit, wenn es Plattformen wie Youtube nicht mehr gäbe. Wissenschaftler sehen hingegen Gefahren durch die Reform.

  1. Uploadfilter Koalition findet ihren eigenen Kompromiss nicht so gut
  2. Uploadfilter Konservative EVP will Abstimmung doch nicht vorziehen
  3. Uploadfilter Spontane Demos gegen Schnellvotum angekündigt

Einfuhrsteuern: Wie teuer wird ein Raspberry Pi beim harten Brexit?
Einfuhrsteuern
Wie teuer wird ein Raspberry Pi beim harten Brexit?

Bei einem No-Deal-Brexit könnten viele britische Produkte teurer und schwerer lieferbar werden - auch der populäre Bastelrechner Raspberry Pi. Mit genauen Prognosen tun sich deutsche Elektronikhändler derzeit schwer, doch decken sie sich schon vorsorglich mit den Komponenten ein.
Ein Bericht von Friedhelm Greis

  1. UK und Gibraltar EU-Domains durch Brexit doch wieder in Gefahr

Chrome OS Crostini angesehen: Dieses Nerd-Unix läuft wie geschnitten Brot
Chrome OS Crostini angesehen
Dieses Nerd-Unix läuft wie geschnitten Brot

Mit Crostini bringt Google nun auch eine echte Linux-Umgebung auf Chromebooks, die dafür eigentlich nie vorgesehen waren. Google kann dafür auf ein echtes Linux-System und sehr viel Erfahrung zurückgreifen. Der Nutzung als Entwicklerkiste steht damit fast nichts mehr im Weg.
Von Sebastian Grüner

  1. Google Chromebooks bekommen virtuelle Arbeitsflächen
  2. Crostini VMs in Chromebooks bekommen GPU-Beschleunigung
  3. Crostini Linux-Apps für ChromeOS kommen für andere Distributionen

    •  /