“Діри” у системі захисту мають камери спостереження виробника Nuuo та роблять їх доступними для зламу хакерами. До таких висновків дійшли дослідники з фірми Digital Defence, пише ZDNet.
У їхньому програмному забезпеченні відкрили вразливість “нульового дня” — і потенційно під цю загрозу можуть потрапити тисячі камер з усього світу.
“Прошивка” Nuuo NVRmini 2 Network Video Recorder, яка написана на основі Linux, підтримує запис на NAS та дозволяє моніторити до 64 каналів.
Вразливість виникає, коли переповнюється буфер обміну у системі віддаленого доступу та виконується довільний код. Це дає можливість зловмисникам заходити під root-екаунтом та не тільки мати доступ до записів камери, але й керувати нею напряму — наприклад, довільно змінювати сектор огляду (якщо камера сама може рухатися), змінювати налаштування інших камер.
Доводити буфер обміну до переповнення і виникнення вразливості виявилося дуже легко. Для цього достатньо відправити на камеру сервісне повідомлення, в якому містилося б посилання, довше ніж 351 символ.
За словами дослідників, “переповнення змінної стека, яка призначена для зберігання даних запиту, призводить до перезапису збережених адрес повернення, а з правильно розробленим корисним навантаженням може бути використане для досягнення довільного виконання коду”.
Виробник камер вже випустив патч, у якому виправляється помилка. Проте не всі камери його отримали.