IoT yüzlerce fotoğraf makinesi kritik güvenlik açığından etkilenebilir.

Computer Security News

Kritik bir güvenlik açığı nedeniyle NUUO yazılım, bilgisayar korsanları Uzaktan video görüntülerini görüntülemek ve yüz binlerce IoT kamera kayıtları ile kurcalamak.

Güvenlik uzmanları, Tenable göre güvenlik açığı CE denir ve 100’den fazla marka ve NUUO’ın yazılımı ile entegre kamera 2.500 farklı modelleri etkiledi.

Peecaboo kameralar işlemek ve hackerlar bir erişim Kullanıcı adı ve şifre vermek için yararlanılabilir. Güvenlik kusur NVRMini 2’de, bulundu bir ağa bağlı depolama aygıt ve ağ video kaydedici.

Bu güvenlik açığı uzaktan kod çalıştırma gerektirebilecek bir kimliği doğrulanmamış yığın arabellek taşması oluşur. CVE-2018-1149 izlenir ve 10,0 CVSSv2 baz puan sahiptir.

“Yararlanan sonra CE siber erişimi kontrol yönetimi sistemi (CMS), tüm video güvenlik kameraları bağlı kimlik bilgilerini açığa verirdim. Kök erişim NVRMini2 aygıt üzerindeki kullanma, siber-canlı yayınları bağlantısını kesin ve güvenlik kamerası ile kurcalamak” savunulabilir devlet araştırmacıları.

Güvenlik açığı NVRMini 2 firmware sürümleri 3.9.0 büyük bulaşmış. ve henüz yamalı değil.

“Bu arada, kullanıcılar denetim için teşvik edilir ve NUUO NVRMini2 dağıtımlarını erişimi kısıtlamak ve bu yasal kullanıcılara yalnızca güvenilen ağ bağlantılarını sınırlamak. Doğrudan Internet’e bağlı cihazların sahipleri özellikle vasıl tehlike, potansiyel saldırganların onları doğrudan Internet üzerinden hedefleyebilirsiniz şunlardır. Etkilenen son kullanıcılar gerekir bu aygıtlar Internet bağlantısını kesin bir yama serbest bırakılıncaya kadar” savunulabilir takım diyor.

Ortak ağ geçidi arabirimi (CGI) protokolü aracılığıyla çalıştırılabilir ikili dosyalar için bir açık kaynak web sunucusu desteği ile kullanımda sorun yatıyor. CGI ikili, ‘cgi_system’, biri çeşitli komutlar ve Kullanıcı kimlik doğrulaması gerektiren eylemleri kolları ama çerez parametrenin oturum kimliği boyutu böylece yığın arabellek taşması sprint işlev için izin kimlik doğrulama sırasında kontrol değil.

Peecaboo güvenlik açığı uzaktan kod yürütülmesine “kök” veya yönetici ayrıcalıklarına sahip Tenable’nın güvenlik araştırma keşfedilen neden olabilir. Kanıtı-of-concept (PoC) kod hata göstermek için GitHub yayınladı.

Bu hata dışında Tenable artık hata ayıklama kodu bir arka kapı buldum. Kusur CVE-2018-1150 izlenir ve 4.0 CVSSv2 baz puan vardır.

Sözde /tmp/ musa dosya varsa güvenlik uzmanlarına göre arka kapı etkinleştirilir. Arka kapı için tüm Kullanıcı üstünde belgili tanımlık sistem hesapları ve aynı zamanda bir hesabı parolası değişikliği sağlar listesi kullanılabilir.

Güvenlik açığını kötüye hacker sadece kamera beslemeleri ve CCTV kayıtları görüntülemek olabilir değil ama Ayrıca kamera çevrimdışı sürebilir.


Leave a Reply

Your email address will not be published. Required fields are marked *