Masz kamerę przemysłową? Uważaj, ogromna luka pozwala nagrywać co robisz
Hakerzy wykorzystując do dziś niezałataną lukę w oprogramowaniu kamer. Korzystając z narzędzi "zero-day exploit" są w stanie śledzić nagrania video, i manipulować ich treścią. Producent kamer deklaruje prace nad aktualizacją.
Sprawa została ujawniona na blogu analityków bezpieczeństwa z Tenable. W zamieszczonym poście wyjaśniają, jak udało im się wykryć możliwość zdalnego wykonania hakerskiego kodu na rejestratorach nadzoru video pracujących w systemie IoT (internet rzeczy – ang. Internet of Things).
Luka w zabezpieczeniach, nazwana Peekaboo, została wykryta w oprogramowaniu NUOO Network Video Recorder, zarządzającym systemami telewizji przemysłowej (CCTV). Pozwala ona hakerom nie tylko na przeglądanie i modyfikowanie materiału z kamer CCTV, ale także na kradzież danych, takich jak parametry uwierzytelniające dostęp do wszystkich kamer, adresy IP i inne informacje związane z urządzeniami.
"Konsekwencje istnienia tej luki są poważne z wielu powodów. Przede wszystkim skala problemu. NUUO jest czołowym przedstawicielem branży nadzoru video. Urządzenia tej marki zostały wdrożone w ponad 100 tys. instalacji na całym świecie. Poza tą liczbą istnieje jeszcze wiele przedsiębiorstw, które nie są świadome tego, że ich systemy nadzoru korzystają z oprogramowania NUUO – jest ono zintegrowane również z wieloma systemami oferowanymi przez firmy trzecie. Niektóre szacunki wskazują, że w powszechnym użyciu może być od 180 tys. do 800 tys. kamer CCTV, które są podatne na działanie Peekaboo" - komentuje Błażej Pilecki, Bitdefender Product Manager z firmy Marken
"Po drugie, wykorzystując dostęp do root-a, hakerzy mają potencjalną możliwość przerwania prowadzonej na żywo transmisji video, a nawet ingerencji w jej treść. Na przykład zastępując transmisję live statycznym obrazem monitorowanej przestrzeni, umożliwić przestępcom niekontrolowany dostęp do strzeżonego obszaru" - dodaje Pilecki.
Analitycy z Tenable ograniczyli się do podania komunikatu o usterce. Na razie nie publikują szczegółów, które mogłyby zostać wykorzystane przez przestępców. Zamiast tego w czerwcu poinformowali NUUO o problemie, deklarując publicznie, że na wydanie łaty będą czekać przez 105 dni. Jak dotąd, łata się nie pojawiła, więc informacja została opublikowana.
Dobrą wiadomością jest to, że NUUO prawdopodobnie pracuje nad updatem. Złą natomiast, że po udostępnieniu łaty zapewne oprogramowanie każdej z kamer będzie musiało być aktualizowane ręcznie. W efekcie wielu nieświadomych użytkowników może nigdy nie skorzystać z tej możliwości. Szczególnie, że pewnie nawet nie wiedzą, czy ich kamera posiada takie właśnie oprogramowanie.
Na razie nie wiadomo, kiedy łata będzie dostępna. Firmy posiadające sprzęt z oprogramowaniem układowym NUUO, powinny wzmóc kontrolę dostępu do sieci wyposażonej w zagrożone kamery. Taki dostęp mogą mieć tylko zaufane osoby z oficjalnymi uprawnieniami, a nie atakujący z dowolnego miejsca na świecie hakerzy.
To nie jest pierwszy przypadek, kiedy sieciowe rejestratory video marki NUUO ukazały się w złym świetle. W ubiegłym roku urządzenie tego producenta znalazły się na liście urządzeń IoT atakowanych przez botnet Reaper.
Hakerzy często wykorzystują tego typu luki w celach szantażu, zastraszania, ale czasami także dla czystej rozrywki. Przez pewien czas na YouTube pojawiała się transmisja na żywo, której autorzy wykorzystywali niezabezpieczone oprogramowanie kamer. Poprzez lukę puszczali muzykę lub po prostu mówili coś do właścicieli kamery, którzy nie bardzo wiedzieli, co się właściwie dzieje. Kamerki posiadają niewielki głośnik, pozwalający na takie "wybrki", jeśli tylko dostaniemy się do systemu kamery. A więc jeśli usłyszycie coś niepokojącego ze swojej kamerki, lepiej ją dezaktywujcie i zgłoście sprawę producentowi.