Специалисты компании Digital Defense обнаружили опасную уязвимость в прошивке Nuuo NVRmini 2 Network Video Recorder для камер видеонаблюдения, позволяющую выполнить произвольный код с правами суперпользователя. Воспользовавшись багом, злоумышленники смогут не только модифицировать потоковое видео и видеозаписи, но и изменить конфигурацию и настройки камеры.

Проблема представляет собой уязвимость переполнения буфера, которая может быть проэксплуатирована путем отправки на устройство с уязвимой прошивкой специально сформированного запроса GET, содержащего URI длиной в 351 символ или более. Уязвимость связана с некорректной очисткой вводных данных, а также отсутствием проверки длины URI.

Проблеме подвержены версии прошивки Nuuo NVRmini 2 3.9.1 и более ранние. Обновления, устраняющие уязвимость, уже доступны на сайте производителя.

В минувшем сентябре специалисты компании Tenable раскрыли информацию о похожей уязвимости под названием Peekaboo, предоставляющей возможность просматривать и модифицировать записи с видеокамер, похищать информацию, в том числе логины/пароли, данные об IP-адресах, используемых портах, моделях подключенных устройств, а также полностью отключать камеры и системы видеонаблюдения.

Источник: securitylab.ru