Die kritische Sicherheitslücke CVE-2018-1149 in einem Netzwerkspeicher für Überwachungskameras lässt sich bei Hunderttausenden dieser Geräte dazu missbrauchen, sie zu kapern und das Videoüberwachungs-Material auszuspionieren und/oder zu manipulieren.
Das Problem steckt in den Netzwerkspeichern
Das Problem steckt in den Linux-basierten Netzwerkspeichern NVRmini 2 von dem Hersteller Nuuo. Nach Informationen der Sicherheitsfirma Tenable, die diese Lücke entdeckte, ist sie besonders brisant, weil die Nuuo-Geräte mit einer großen Anzahl von Überwachungskameras auf dem Markt kompatibel sind und in den Produkten von hunderten teilweise marktführenden Unternehmen stecken.
Zero-Day-Lücke erlaubt Vollzugriff auf die Systeme
Angreifer können die Zero-Day-Schwachstelle im Speicher-Management der Linux-Software missbrauchen, um aus der Ferne beliebigen Code auszuführen. Besonders NVRmini-2-Systeme, die direkt mit dem Internet verbunden sind, sind dadurch akut gefährdet.
Einmal im System, kann der Angreifer sich Root-Rechte verschaffen und die angeschlossenen Kameras in Echtzeit ausspionieren, Aufzeichnungen löschen oder Live-Bilder austauschen, so dass dann dauerhaft ein Standbild oder eine Video-Schleife läuft. Das lässt sich dazu missbrauchen, Einbrüche zu verschleiern.
Einsatzgebiet der Kameras: Einzelhandel, Verwaltung und Schulen
Das Nuuo NVRmini 2 ist im Grunde ein modifizierter Netzwerkspeicher (Network Attached Storege, NAS) und kommt hauptsächlich im Einzelhandel zum Einsatz. Laut Hersteller wird er aber auch gerne in der öffentlichen Verwaltung und in Bildungseinrichtungen eingesetzt.
Gefährdet ist die Firmware der Geräte vor der Version 3.9.0 – nach Herstellerangaben gibt es schon Patches für die Geräte.
Tenable taufte die Sicherheitslücke auf den Namen „Peekaboo“, vermutlich in Anlehnung an den englischen Namen für das bei uns als Kuckuck oder Guck-Guck bekannte Spiel.