Tenable обнаружила уязвимость в серверах для хранения данных NUUO

Специалисты Tenable рассказали об уязвимости ПО, которое используется в устройствах NVRMini 2. Оно использует NAS-узлы и предоставляет сервисы для хранения данных другим устройствам в сети. При взломе злоумышленник получает доступ к интерфейсу системы управления контентом (CMS) и данным с подключённых камер.

Peekaboo

Уязвимость получила название Peekaboo и предполагает переполнение буфера стека и последующее выполнение кода. Используя уязвимость, злоумышленники могут заполучить хранящиеся в NVRMini 2 IP-адреса и данные подключённых устройств, просматривать и подменять видеозаписи. Также они могут проникнуть на частную территорию или выкрасть учётные данные.

NUUO реализует продукцию под OEM-лицензией и ущерб может быть колоссальным. Уязвимость до сих пор не устранена и ей подвержены все версии прошивки до 3.9.0. Представители компании заявили, что исправление находится в разработке. Также опубликован эксплоит для проверки уязвимости.

Другую массовую уязвимость, но касающуюся сетей Wi-Fi, защищённых протоколами WPA/WPA2, обнаружили в начале августа 2018 года. Доступ к сети осуществляется через протокол EAPOL с использованием RSN IE. Уязвимость позволяет осуществлять MiTM-атаки, просматривать трафик и перехватывать пароли.