Das Problem steckt in den Netzwerkspeichern
Das Problem steckt in den Linux-basierten Netzwerkspeichern NVRmini 2 von dem Hersteller Nuuo. Nach Informationen der Sicherheitsfirma Tenable, die diese Lücke entdeckte, ist sie besonders brisant, weil die Nuuo-Geräte mit einer großen Anzahl von Überwachungskameras auf dem Markt kompatibel sind und in den Produkten von hunderten teilweise marktführenden Unternehmen stecken.
Zero-Day-Lücke erlaubt Vollzugriff auf die Systeme
Angreifer können die Zero-Day-Schwachstelle im Speicher-Management der Linux-Software missbrauchen, um aus der Ferne beliebigen Code auszuführen. Besonders NVRmini-2-Systeme, die direkt mit dem Internet verbunden sind, sind dadurch akut gefährdet.
Einmal im System, kann der Angreifer sich Root-Rechte verschaffen und die angeschlossenen Kameras in Echtzeit ausspionieren, Aufzeichnungen löschen oder Live-Bilder austauschen, so dass dann dauerhaft ein Standbild oder eine Video-Schleife läuft. Das lässt sich dazu missbrauchen, Einbrüche zu verschleiern.
Einsatzgebiet der Kameras: Einzelhandel, Verwaltung und Schulen
Das Nuuo NVRmini 2 ist im Grunde ein modifizierter Netzwerkspeicher (Network Attached Storege, NAS) und kommt hauptsächlich im Einzelhandel zum Einsatz. Laut Hersteller wird er aber auch gerne in der öffentlichen Verwaltung und in Bildungseinrichtungen eingesetzt.
Tenable taufte die Sicherheitslücke auf den Namen „Peekaboo“, vermutlich in Anlehnung an den englischen Namen für das bei uns als Kuckuck oder Guck-Guck bekannte Spiel.