Tenable®, Inc., la compañía de Cyber Exposure, ha anunciado hoy que su equipo de investigación ha descubierto una vulnerabilidad de día cero que permitiría a los ciberdelincuentes ver y manipular las grabaciones de video vigilancia a través de una vulnerabilidad de ejecución remota de código en el software de NUUO, uno de los principales proveedores de soluciones de video vigilancia a nivel mundial. La vulnerabilidad, apodada Peekaboo por Tenable Research, permitiría a los cibercriminales observar remotamente las transmisiones de video vigilancia y alterar las grabaciones utilizando privilegios de administrador. Por ejemplo, podrían reemplazar la transmisión en vivo con una imagen estática del área vigilada, permitiendo a los delincuentes a entrar en las instalaciones sin ser detectados por las cámaras.
El impacto de Peekaboo es significativo ya que NUUO se integra con cientos de marcas líderes. Su ecosistema de dispositivos compatibles significa que más de 100 marcas y 2,500 modelos diferentes de cámaras podrían ser vulneradas por el acceso que Peekaboo otorga a los nombres de usuario y contraseñas. Las estimaciones preliminares muestran que cientos de miles de cámaras podrían ser manipuladas y desconectadas en todo el mundo.
El software y los dispositivos de NUUO se utilizan comúnmente para el monitoreo y la vigilancia de videos basados en web en industrias como la venta minorista, el transporte, la educación, el gobierno y la banca. El dispositivo vulnerable, NVRMini2, es un dispositivo de almacenamiento conectado a la red (NAS) y un grabador de video en red. Una vez explotado, Peekaboo les daría a los cibercriminales acceso al sistema de gestión de control (CMS), exponiendo las credenciales para todas las cámaras de video vigilancia conectadas. Al utilizar el acceso privilegiado en el dispositivo NVRMini2, los ciberdelincuentes podrían desconectar las transmisiones en vivo y alterar las grabaciones de seguridad. El año pasado, los dispositivos NUUO NVR fueron específicamente dirigidos por el Botnet de IOT Reaper Reaper IoT Botnet.
«Nuestro mundo funciona con tecnología. Nos ayuda a monitorear, controlar e interactuar con los demás y nuestro entorno. Esta es una de las muchas razones por las que hemos visto un aumento masivo de dispositivos conectados recientemente «, dijo Renaud Deraison, cofundador y director de tecnología de Tenable. «La falla de Peekaboo es extremadamente preocupante porque explota la misma tecnología en la que confiamos para mantenernos a salvo. A medida que se ponen en línea más dispositivos IoT, la superficie de ataque se expande e introduce nuevos riesgos tanto para los consumidores como para las organizaciones. Tenable Research se compromete a reducir esta brecha de Cyber Exposure (exposición cibernética) al identificar nuevos vectores de ataque potenciales y armar a los clientes con la información que necesitan para reducir su exposición”.
Tenable Research reveló la vulnerabilidad a NUUO siguiendo los procedimientos estándar descritos en nuestra política de divulgación de vulnerabilidades vulnerability disclosure policy, que afecta a versiones de firmware anteriores a la 3.9.0. Hasta el día de hoy, septiembre 17, el parche no ha sido emitido.
NUUO informó a Tenable que se está desarrollando un parche y que los clientes afectados deben ponerse en contacto con ellos para obtener más información. Mientras tanto, se insta a los usuarios a controlar y restringir el acceso a sus implementaciones NUUO NVRMini2 y limitar esto solo a usuarios legítimos de redes confiables. Los propietarios de dispositivos conectados directamente a Internet están especialmente en riesgo, ya que los posibles atacantes pueden explotar esta vulnerabilidad en sus sistemas directamente a través de Internet. Los usuarios finales afectados deben desconectar estos dispositivos de Internet hasta que se libere un parche. Desafortunadamente, muchos usuarios no serán conscientes de que sus dispositivos son vulnerables porque el software NUUO también está integrado con productos de otros fabricantes. En estos casos, los usuarios deben ponerse en contacto con sus proveedores de videovigilancia para confirmar si están expuestos y cuándo se lanzará un parche.