更新时间:2026-01-28 12:21:24
开发经验
38最近,研究人员发现Nuuo 监控摄像头中存在一个漏洞,可利用该漏洞劫持这些设备并篡改录像和实时信息。
周四,网络安全公司Digital Defense表示,其漏洞研究团队(VRT)在Nuuo NVRmini 2网络录像机的固件中发现了一个零日漏洞,该网络录像机被用于全球数十万个监控摄像头,并被应用于多家公司的监控摄像头产品中。该方案基于Linux,支持NAS存储,最多可监控64个直播视频通道。
该漏洞是一个未经身份验证的远程缓冲区溢出安全漏洞,允许攻击者利用root权限在系统上执行任意代码。威胁参与者不仅可以利用此漏洞访问和修改摄像头源和记录,还可以更改摄像头的配置和设置。
为了利用此漏洞,攻击者可以使用易受攻击的固件向服务发送精心设计的GET 请求。只要数据包中包含的URI 长度为351 或更大,就会触发堆栈溢出。
Digital Defense 表示:“用于保存请求数据的堆栈变量溢出会导致覆盖存储的返回地址,并可以利用正确设计的有效负载来实现任意代码执行。”
问题的根源在于未能正确清理用户提供的输入以及缺少URI 长度检查。 NVRmini 2 固件版本3.9.1 及更早版本容易受到攻击。 Nuuo 很快对研究人员的披露做出了回应,并发布了补丁来解决该问题。
早在9 月份,Tenable 的研究人员就发现Nuuo 相机存在远程代码执行缺陷。该漏洞绰号为Peekaboo,还允许攻击者篡改摄像机镜头。
我们专注高端建站,小程序开发、软件系统定制开发、BUG修复、物联网开发、各类API接口对接开发等。十余年开发经验,每一个项目承诺做到满意为止,多一次对比,一定让您多一份收获!
