0-day i NUUO videoövervakningssystem

Allvarliga säkerhetsbrister har upptäckts i videoövervakningssystem från NUUO, vilka når 9.0 på den 10-gradiga CVSS-skalan. [1]

Tidigare i höstas skrev vi om kritiska sårbarheter för samma enhet, men nu har forskare upptäckt ytterligare sårbarheter även i den patchen som släpptes då. [2]

Sårbarheterna kan möjliggöra för en angripare att exekvera godtycklig kod på målsystemet.

Sårbara versioner

• NUUO NVRMini2 versioner tidigare än 3.10.0

Rekommendationer

CERT-SE rekommenderar att snarast möjligt kontakta leverantören av ert videoövervakningssystem för att se om ni är drabbade och sedan uppdatera till senaste version av programvaran. [3]

Vidare rekommenderar CERT-SE att nätverksansluten utrustning som inte behöver ha internetanslutning bör segmenteras för att undvika obehörig åtkomst. Mer om detta samt allmän information rörande säkerhet kring Sakernas Internet (Internet of Things, IoT) finns att läsa på MSB:s hemsida. [4]

Källor

[1] https://latesthackingnews.com/2018/12/02/another-zero-day-vulnerability-hits-nuuo-surveillance-cameras/
[2] https://www.cert.se/2018/09/kritiska-sarbarheter-i-nuuo-videoovervakningssystem
[3] https://www.nuuo.com/PartnerNode.php?node_id=2#1
[4] https://www.msb.se/sv/Om-MSB/Nyheter-och-press/Nyheter/Nytt-informationssakerhet/Internet-of-Things-IoT--tre-faktablad-om-risker-och-hantering/