• IT-Karriere:
  • Services:

Zero-Day: Überwachungskameras können übernommen und manipuliert werden

Sicherheitslücken ermöglichen den Zugriff und die Manipulation von Videoüberwachungsbildern in Banken, Kauf- und Krankenhäusern. Der betroffene Hersteller Nuuo hat Patches angekündigt. Aufgrund von Lizenzierungen sind auch Produkte anderer Firmen verwundbar.

Artikel veröffentlicht am , Moritz Tremmel
Wegen Sicherheitslücken in einer Videoüberwachungssoftware kann auf die Bilder der Kameras zugegriffen werden.
Wegen Sicherheitslücken in einer Videoüberwachungssoftware kann auf die Bilder der Kameras zugegriffen werden. (Bild: Alexandre Dulaunoy/CC-BY-SA 2.0)

Die Sicherheitsfirma Tenable hat mehrere schwerwiegende Sicherheitslücken in einer Verwaltungssoftware für Videoüberwachungskameras von Nuuo gefunden. Die betroffene Firma verkauft Überwachungssysteme an Großkunden wie Banken und Einkaufszentren. Die Sicherheitslücken machen es möglich, unautorisiert auf die Videodaten zuzugreifen und sie zu manipulieren. Beispielsweise können andere oder ältere Videodaten eingespielt oder die Kameras deaktiviert werden. Geräte, die die Software lizenzieren, sind ebenfalls angreifbar.

Stellenmarkt
  1. Vorwerk Services GmbH, Wuppertal
  2. Horváth & Partners Management Consultants, Berlin, Düsseldorf, Frankfurt am Main, Hamburg, München, Stuttgart

Die Lücke wird von Tenable "Peekaboo" genannt. Betroffen ist die Software des Nuuo NVRMini2, eines Netzwerkvideorekorders, der die Aufnahmen von mehreren Videoüberwachungskameras speichern und in einer Weboberfläche verwalten und abspielen kann. Der dahinterliegende Webserver weist mehrere schwerwiegende Sicherheitslücken auf. Das Session-Management wird über CGI-Binaries geregelt, die Benutzereingaben nicht validieren. Hier kann mit einem Stack-Overflow Schadcode ausgeführt werden (CVE-2018-1149). Eine Hintertür im PHP-Code erlaubt zudem, ohne Authentifizierung das Passwort beliebiger Nutzeraccounts mit Ausnahme des Administratoraccounts auf dem Gerät zu ändern (CVE-2018-1150).

Tenable hat zwei Exploits auf Github veröffentlicht. Die beiden Python-Skripte greifen den Nuuo NVRMini2 an, öffnen einen Telnet-Zugang, lesen die Zugangsdaten der mit dem Netzwerkvideorekorder verbundenen Kameras aus, erstellen einen versteckten Admin-Account oder trennen alle Kameras, die zum fraglichen Zeitpunkt mit dem NVRMini2 verbunden sind.

Neben dem NVRMini2 dürften noch deutlich mehr Geräte, nämlich die anderer Hersteller, betroffen sein: Denn Nuuo lizenziert seine Software an mehr als 100 Firmen und 2.500 Kameramodelle. Die Geräte und damit die betroffene Software werden weltweit eingesetzt und verwalten die Videoüberwachungssysteme von Banken, Krankenhäusern, Schulen, Kaufhäusern und vielen mehr.

Nuuo wurde bereits am 1. Juni über die Sicherheitslücke informiert und wollte bis 13. September einen Patch liefern. Der Patch wurde um fünf Tage verschoben und soll am heutigen 18. September mit der Firmware-Version 3.9.0.1 zur Verfügung stehen. Um die Firmware herunterladen zu können, muss man sich beim Hersteller registrieren. Ob und wann die Lizenznehmer ebenfalls Updates herausgeben, ist unklar. Tenable empfiehlt den Netzwerkzugriff auf betroffene Geräte einzuschränken und zu kontrollieren.

Nachtrag vom 19. September 2018, 16:30 Uhr

Nuuo hat mittlerweile Patches veröffentlicht. Ob und wann Updates für die Geräte anderer Hersteller mit lizenzierter Nuoo-Software erscheinen, bleibt weiter unklar.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 304€ (Bestpreis!)
  2. 274,49€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)
  3. 328€ (mit Rabattcode "YDENUEDR6CZQWFQM" - Bestpreis!)
  4. 689€ (mit Rabattcode "PRIMA10" - Bestpreis!)

Anonymer Nutzer 18. Sep 2018

.

Icestorm 18. Sep 2018

Bilder der Videokameras ganzer Städte können abgefragt und manipuliert werden. Dem...

systemnutzer 18. Sep 2018

Die Share-Economy möchte vieles teilen. In der Wirtschaft versteht man es anders; man...


Folgen Sie uns
       


Ghost of Tsushima - Fazit

Mit Ghost of Tsushima macht Sony der Playstation 4 ein besonderes Abschiedsgeschenk. Statt auf massenkompatible Bombastgrafik setzt es auf eine stellenweise fast schon surreal-traumhafte Aufmachung, bei der wir an Indiegames denken. Dazu kommen viele Elemente eines Assassin's Creed in Japan - und wir finden sogar eine Prise Gothic.

Ghost of Tsushima - Fazit Video aufrufen
The Secret of Monkey Island: Ich bin ein übelriechender, groggurgelnder Pirat!
The Secret of Monkey Island
"Ich bin ein übelriechender, groggurgelnder Pirat!"

Das wunderbare The Secret of Monkey Island feiert seinen 30. Geburtstag. Golem.de hat einen neuen Durchgang gewagt - und wüst geschimpft.
Von Benedikt Plass-Fleßenkämper


    Energiewende: Wie die Begrünung der Stahlindustrie scheiterte
    Energiewende
    Wie die Begrünung der Stahlindustrie scheiterte

    Vor einem Jahrzehnt suchte die europäische Stahlindustrie nach Technologien, um ihren hohen Kohlendioxid-Ausstoß zu reduzieren, doch umgesetzt wurde fast nichts.
    Eine Recherche von Hanno Böck

    1. Wetter Warum die Klimakrise so deprimierend ist

    Pinephone im Test: Das etwas pineliche Linux-Phone für Bastler
    Pinephone im Test
    Das etwas pineliche Linux-Phone für Bastler

    Mit dem Pinephone gibt es endlich wieder ein richtiges Linux-Telefon, samt freier Treiber und ohne Android. Das Projekt scheitert aber leider noch an der Realität.
    Ein Test von Sebastian Grüner

    1. Linux Mehr Multi-Touch-Support in Elementary OS 6
    2. Kernel Die Neuerungen im kommenden Linux 5.9
    3. VA-API Firefox bringt Linux-Hardwarebeschleunigung auch für X11

      •  /