• 首页
  • 行业知识
  • 黑客可以利用监控摄像头中的这个漏洞来篡改镜头

黑客可以利用监控摄像头中的这个漏洞来篡改镜头

时间 : 2018-11-30 编辑 : DNS智能解析专家 来源 : DNS.COM
分享 : 

近日,研究人员发现了Nuuo监控摄像头中的一个漏洞,该漏洞可被利用来劫持这些设备并篡改镜头和实时信息。


周四,网络安全公司Digital Defense表示,其漏洞研究小组(VRT)发现了Nuuo NVRmini 2网络视频录像机固件零日漏洞,该软件是全球数十万台监控摄像机都使用的软件,用于各种公司的监控摄像机产品。该解决方案基于Linux,支持NAS存储,可监控多达64个实时视频通道。


此漏洞是一种未经身份验证的远程缓冲区溢出安全漏洞,攻击者可以利用root权限在系统上执行任意代码。威胁演员不仅可以利用该漏洞访问和修改摄像机源和录制,还可以更改摄像机的配置和设置。


为了利用此漏洞,攻击者可以将精心设计的GET请求发送到使用易受攻击的固件的服务。只要数据包中包含的URI长度为351或更大,就会触发堆栈溢出。


“用于保存请求数据的堆栈变量的溢出导致覆盖存储的返回地址,并且可以利用正确制作的有效负载来实现任意代码执行。”Digital Defense说。


问题的根源在于未能正确清理用户提供的输入,并且缺少URI长度检查。NVRmini 2固件版本3.9.1及更早版本易受攻击。Nuuo迅速回应了研究人员的披露,并发布了一个补丁来解决这个问题。


而早在九月,Tenable的研究人员就发现了Nuuo相机的远程代码执行缺陷。这个昵称为Peekaboo的漏洞也允许攻击者篡改摄像机镜头。


来源:https://www.zdnet.com/article/hackers-can-exploit-these-bugs-in-surveillance-cameras-to-tamper-with-footage/

提示

根据《中华人民共和国网络安全法》及相关法律的规定,用户不提供真实身份信息的,网络运营者不得为其提供相关服务!
详情请查看《DNS.COM账号实名认证公告
请未完成实名认证的用户尽快完善账户实名认证信息!
未通过实名认证的账户将无法进行正常操作,正在运行/已配置好的的产品服务不受影响,可正常生效。

去实名