CVE-2018-1149は、IoTビデオとセキュリティカメラを危険にさらす新しいスタックバッファオーバーフローのゼロデイ脆弱性です. Peekabooとしても知られています, ゼロデイは、NUUOソフトウェアを使用する防犯カメラと監視機器に影響を及ぼしています. 悪用された場合, この欠陥により、攻撃者がリモートでコード実行攻撃を実行する可能性があります.
攻撃者は、デバイスの資格情報などの機密データを盗む可能性もあります, IPアドレス, ポートの使用法, およびデバイスのモデル番号. さらに, バグを悪用する攻撃者は、カメラを無効にしたり、映像を静止画像に置き換えたりする可能性があります.
CVE-2018-1149クリティカルゼロデイ: 技術概要
テンブル研究者「認証されていないスタックバッファオーバーフローが見つかりました (CWE-121) リモートコード実行を許可する」. この脆弱性のCVSSv2ベーススコアは 10.0 および時間スコア 8.6; 重大度として評価されます, 研究者は付け加えた.
エクスプロイトが成功した場合, Peekabooの脆弱性は、サイバー犯罪者に制御管理システムへのアクセスを許可します (CMS), 接続されているすべてのCCTVカメラのクレデンシャルを公開する, 研究者は彼らの報告書で説明しました.
NVRMini2デバイスでのルートアクセスの使用, サイバー犯罪者はライブフィードを切断し、セキュリティ映像を改ざんする可能性があります. 例えば, ライブフィードを監視対象エリアの静止画像に置き換えることができます, 犯罪者がカメラに気付かれずに敷地内に立ち入ることを許可する.
JacobBainesによって開発されたCVE-2018-1149の概念実証もあります, Tenableのシニアリサーチエンジニア. 彼は、この脆弱性を利用してNVRMini2を乗っ取り、接続されたカメラを操作する方法を示すことができました。.
脆弱性の影響は本当に壊滅的なものになる可能性があります–研究者は、それが世界規模で数十万のIoTカメラに影響を与える可能性があると推定しました. これにより、NUUOソフトウェアを使用しているさまざまな組織が危険にさらされる可能性があります, ショッピングセンターを含む, 銀行, 病院, 政府, と公共エリア.
どうやら, NUUOは現在パッチに取り組んでいます. 影響を受けるお客様は、詳細について会社に連絡することをお勧めします. パッチがリリースされるまで, ユーザーは、エクスプロイトを回避するために、影響を受けるデバイスへのネットワークアクセスを制限する必要があります.