Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Publicerad - Sårbarhet IoT NUUO Peekaboo

Kritiska sårbarheter i NUUO videoövervakningssystem

Säkerhetsforskare hos Tenable har identifierat sårbarheter i HTTP-gränssnittet i de videoövervakningssystem som använder sig av nätverkslagringssystemet NVRMini2 från leverantören NUUO. Sårbarheterna, som har fått smeknamnet Peekaboo, gäller bland annat en bakdörr som finns i systemet. [1] [2]
Programvaran från NUUO finns hos ett flertal tillverkare av videoövervakningssystem, men det är idag oklart hur många som innehåller sårbarheterna. [3]

Dessa sårbarheter når 10.0 respektive 8.3 på den 10-gradiga CVSS 3.0 "Base Metrics"-skalan och heter: CVE-2018-1149 och CVE-2018-1150.

Sårbara versioner

  • NUUO NVRMini2 versioner tidigare än 3.9.1

Rekommendationer

CERT-SE rekommenderar att snarast möjligt kontakta leverantören av ert videoövervakningssystem för att se om ni är drabbade och sedan uppdatera till senaste version av programvaran.

Vidare rekommenderar CERT-SE att nätverksansluten utrustning som inte behöver ha internetanslutning bör segmenteras för att undvika obehörig åtkomst. Mer om detta samt allmän information rörande säkerhet kring Sakernas Internet (Internet of Things, IoT) finns att läsa på MSB:s hemsida. [4]

Källor

[1] https://www.tenable.com/security/research/tra-2018-25
[2] https://www.nuuo.com/ProductNode.php?node=2
[3] https://www.nuuo.com/PartnerNode.php?node_id=2#1
[4] https://www.msb.se/sv/Om-MSB/Nyheter-och-press/Nyheter/Nytt-informationssakerhet/Internet-of-Things-IoT--tre-faktablad-om-risker-och-hantering/