Bezpečnostné varovanie V20180918-01

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP WHITE
CVSS Skóre	9.6

Identifikátor

NUUO Peekaboo Zero-Day Vulnerability

Popis

Bezpečnostní výskumníci zo spoločnosti Tenable informujú o nájdení kritickej zero-day zraniteľnosti vo firmvéri sieťových video rekordérov (NVR) spoločnosti NUUO. Kritická bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov vo funkcii cgi_system a umožňuje vzdialenému neautentifikovanému útočníkovi spôsobiť pretečenie zásobníka a následne vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.

Dátum prvého zverejnenia varovania

17.09.2018

CVE

CVE-2018-1149, CVE-2018-1150

Zasiahnuté systémy

NUUO NVRMini2 verzie staršie ako 3.9.1 Sieťové video rekordéry iných výrobcov využívajúce firmvér spoločnosti NUUO

Následky

Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania

Administrátorom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov, aplikovať firewallové pravidlá a limitovať prístup k zasiahnutým zariadeniam a jeho funkciám zavedením zoznamu pre riadenie prístupov (ACL). Tiež sa odporúčame informovať u výrobcu vášho sieťového video rekordéra, či neobsahuje zraniteľný firmvér od spoločnosti NUUO a po vydaní bezpečnostných záplat vykonať jeho aktualizáciu.

Zdroje

https://www.tenable.com/press-releases/tenable-research-discovers-peekaboo-zero-day-vulnerability-in-global-video https://www.tenable.com/blog/tenable-research-advisory-peekaboo-critical-vulnerability-in-nuuo-network-video-recorder

 

« Späť na zoznam