Über eine Remote-Code-Execution-Lücke können Hacker sich auf dem NAS-Speicher der Geräte Root-Rechte verschaffen.

Eine kritische Sicherheitslücke (CVE-2018-1149) in einem Netzwerkspeicher für Überwachungskameras kann dazu missbraucht werden, die Geräte zu kapern und so Videoüberwachungs-Material auszuspionieren und zu manipulieren. Die Lücke befindet sich in den Linux-basierten Netzwerkspeichern NVRmini 2 des Herstellers Nuuo. Laut der Sicherheitsfirma Tenable, welche die Lücke entdeckte, ist diese besonders brisant, da die Nuuo-Geräte mit einer großen Anzahl an Überwachungskameras kompatibel sind und in den Produkten hunderter, zum Teil marktführender Unternehmen, verbaut sind.

Angreifer können die Zero-Day-Schwachstelle im Speicher-Management der Linux-Software missbrauchen, um aus der Ferne beliebigen Code auszuführen. Vor allem NVRmini-2-Systeme, die direkt mit dem Internet verbunden sind, sind deshalb in akuter Gefahr. Ist der Angreifer einmal im System, kann er sich Root-Rechte verschaffen und die angeschlossenen Kameras in Echtzeit ausspionieren. Außerdem kann er Aufzeichnungen löschen oder Live-Bilder austauschen, so dass zum Beispiel dauerhaft ein Standbild oder eine Aufnahme-Schleife läuft. Das könnte zum Beispiel dazu missbraucht werden, Einbrüche zu verschleiern.

Betroffen sind die Geräte NVRmini 2 des Herstellers Nuuo. (Bild: Nuuo / heise online)

Das Nuuo NVRmini 2 ist im Kern ein modifiziertes NAS und kommt vor allem im Einzelhandel zum Einsatz. Es wird laut Hersteller aber auch gerne in der öffentlichen Verwaltung und in Bildungseinrichtungen eingesetzt. Betroffen ist die Firmware der Geräte vor Version 3.9.0 – laut Hersteller gibt es bereits Patches für die Geräte. Die Sicherheitslücke wurde von Tenable auf den Namen "Peekaboo" getauft, wohl in Anlehnung an den englischen Namen für das Guck-guck-Spiel. Vielleicht hat man sich aber auch vom Passwort des Sicherheitschefs aus der Science-Fiction-Serie Babylon 5 inspirieren lassen. (fab)