• IT-Karriere:
  • Services:

Zero-Day: Überwachungskameras können übernommen und manipuliert werden

Sicherheitslücken ermöglichen den Zugriff und die Manipulation von Videoüberwachungsbildern in Banken, Kauf- und Krankenhäusern. Der betroffene Hersteller Nuuo hat Patches angekündigt. Aufgrund von Lizenzierungen sind auch Produkte anderer Firmen verwundbar.

Artikel veröffentlicht am , Moritz Tremmel
Wegen Sicherheitslücken in einer Videoüberwachungssoftware kann auf die Bilder der Kameras zugegriffen werden.
Wegen Sicherheitslücken in einer Videoüberwachungssoftware kann auf die Bilder der Kameras zugegriffen werden. (Bild: Alexandre Dulaunoy/CC-BY-SA 2.0)

Die Sicherheitsfirma Tenable hat mehrere schwerwiegende Sicherheitslücken in einer Verwaltungssoftware für Videoüberwachungskameras von Nuuo gefunden. Die betroffene Firma verkauft Überwachungssysteme an Großkunden wie Banken und Einkaufszentren. Die Sicherheitslücken machen es möglich, unautorisiert auf die Videodaten zuzugreifen und sie zu manipulieren. Beispielsweise können andere oder ältere Videodaten eingespielt oder die Kameras deaktiviert werden. Geräte, die die Software lizenzieren, sind ebenfalls angreifbar.

Stellenmarkt
  1. Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Karlsruhe
  2. Deutsche Schillergesellschaft e.V., Marbach am Neckar

Die Lücke wird von Tenable "Peekaboo" genannt. Betroffen ist die Software des Nuuo NVRMini2, eines Netzwerkvideorekorders, der die Aufnahmen von mehreren Videoüberwachungskameras speichern und in einer Weboberfläche verwalten und abspielen kann. Der dahinterliegende Webserver weist mehrere schwerwiegende Sicherheitslücken auf. Das Session-Management wird über CGI-Binaries geregelt, die Benutzereingaben nicht validieren. Hier kann mit einem Stack-Overflow Schadcode ausgeführt werden (CVE-2018-1149). Eine Hintertür im PHP-Code erlaubt zudem, ohne Authentifizierung das Passwort beliebiger Nutzeraccounts mit Ausnahme des Administratoraccounts auf dem Gerät zu ändern (CVE-2018-1150).

Tenable hat zwei Exploits auf Github veröffentlicht. Die beiden Python-Skripte greifen den Nuuo NVRMini2 an, öffnen einen Telnet-Zugang, lesen die Zugangsdaten der mit dem Netzwerkvideorekorder verbundenen Kameras aus, erstellen einen versteckten Admin-Account oder trennen alle Kameras, die zum fraglichen Zeitpunkt mit dem NVRMini2 verbunden sind.

Neben dem NVRMini2 dürften noch deutlich mehr Geräte, nämlich die anderer Hersteller, betroffen sein: Denn Nuuo lizenziert seine Software an mehr als 100 Firmen und 2.500 Kameramodelle. Die Geräte und damit die betroffene Software werden weltweit eingesetzt und verwalten die Videoüberwachungssysteme von Banken, Krankenhäusern, Schulen, Kaufhäusern und vielen mehr.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Nuuo wurde bereits am 1. Juni über die Sicherheitslücke informiert und wollte bis 13. September einen Patch liefern. Der Patch wurde um fünf Tage verschoben und soll am heutigen 18. September mit der Firmware-Version 3.9.0.1 zur Verfügung stehen. Um die Firmware herunterladen zu können, muss man sich beim Hersteller registrieren. Ob und wann die Lizenznehmer ebenfalls Updates herausgeben, ist unklar. Tenable empfiehlt den Netzwerkzugriff auf betroffene Geräte einzuschränken und zu kontrollieren.

Nachtrag vom 19. September 2018, 16:30 Uhr

Nuuo hat mittlerweile Patches veröffentlicht. Ob und wann Updates für die Geräte anderer Hersteller mit lizenzierter Nuoo-Software erscheinen, bleibt weiter unklar.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 2,50€
  2. 17,49€
  3. 7,99€

Anonymer Nutzer 18. Sep 2018

.

Icestorm 18. Sep 2018

Bilder der Videokameras ganzer Städte können abgefragt und manipuliert werden. Dem...

systemnutzer 18. Sep 2018

Die Share-Economy möchte vieles teilen. In der Wirtschaft versteht man es anders; man...


Folgen Sie uns
       


Toyota Mirai II Probe gefahren

Die Brennstoff-Limousine gefällt uns, aber Tankstellen muss man suchen.

Toyota Mirai II Probe gefahren Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /