CVE-2025-1338: Vulnerabilità di Iniezione di Comandi Remota non Autenticata nelle Telecamere NUUO

NUUO Camera sono dispositivi di registrazione video e sorveglianza connessi alla rete, comunemente utilizzati per il monitoraggio della sicurezza fisica in ambienti aziendali e industriali. Il loro ruolo nel fornire una sorveglianza visiva critica significa che una compromissione può avere gravi conseguenze nel mondo reale, accecando di fatto l’impostazione di sicurezza di un’organizzazione.

L’impatto di questa vulnerabilità è una compromissione completa del sistema da parte di un attaccante remoto non autenticato. Ciò consente a un avversario di ottenere il pieno controllo del dispositivo senza necessità di accesso precedente o credenziali. Il rischio è particolarmente elevato per le telecamere NUUO esposte direttamente a internet.

Un exploit pubblico per questa vulnerabilità è stato divulgato, rendendo estremamente alta la probabilità di un’ampia e attiva attività di sfruttamento. Gli attaccanti possono utilizzare scansioni automatizzate per individuare e compromettere dispositivi vulnerabili su larga scala. Una telecamera compromessa può essere utilizzata per esfiltrare flussi video sensibili, fungere da punto di accesso alla rete interna aziendale o essere assimilata in una botnet per attacchi DDoS.

Prodotto NUUO Camera
Data 2025-12-05 12:27:14

Riassunto tecnico

La vulnerabilità è un classico difetto di iniezione di comandi, identificato come CWE-78: Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’). Essa è presente nel firmware dei dispositivi NUUO Camera.

La causa principale è l’assenza di sanificazione dell’input nello script handle_config.php. In particolare, la funzione print_file accetta un parametro controllato dall’utente chiamato log. Il valore di tale parametro viene passato direttamente a un comando a livello di sistema senza essere validato o sanificato dai metacaratteri della shell.

La catena dell’attacco è la seguente:

  1. Un attaccante remoto non autenticato invia una richiesta HTTP appositamente creata all’endpoint /handle_config.php.
  2. L’attaccante incorpora comandi arbitrari del sistema operativo all’interno del parametro log, utilizzando metacaratteri della shell come il punto e virgola (;) o i backtick (`) per concatenare comandi.
  3. La funzione di backend print_file concatena il parametro dannoso log in una stringa che viene poi eseguita dal sistema operativo sottostante.

Una rappresentazione concettuale della logica del codice vulnerabile è:

<?php
// /handle_config.php

function print_file($filename) {
  // The value of $_GET["log"] is passed directly to a shell command
  // without sanitization, allowing for command injection.
  system("print " . $filename);
}

$log_file = $_GET["log"];
print_file($log_file);
?>

Versioni vulnerabili:

  • Le versioni del firmware NUUO Camera fino alla 20250203 inclusa sono vulnerabili.

Disponibilità della correzione:

  • Al momento non è disponibile alcuna patch ufficiale da parte del fornitore.

Raccomandazioni

  • Disattivare o isolare immediatamente: Poiché non esiste una patch ufficiale, la raccomandazione principale è quella di dismettere immediatamente e sostituire i dispositivi NUUO Camera interessati. Se la sostituzione immediata non è possibile, il dispositivo deve essere scollegato da qualsiasi rete non attendibile, soprattutto da internet.
  • Mitigazione a livello di rete: Se il dispositivo deve restare operativo su una rete interna, limitare l’accesso alla sua interfaccia web (tipicamente porte 80/443) a una VLAN di gestione dedicata e attendibile. Utilizzare un Web Application Firewall (WAF) o un reverse proxy per creare una regola che neghi esplicitamente qualsiasi richiesta all’endpoint /handle_config.php.
  • Rilevamento e monitoraggio della compromissione:
    • Analizzare i log di accesso del server web sui dispositivi o sugli apparati di rete upstream per eventuali richieste a /handle_config.php.
    • Esaminare tali log alla ricerca di caratteri sospetti o stringhe di comando all’interno del parametro log (ad esempio, ;, |, wget, curl, nc).
    • Monitorare il traffico di rete per connessioni in uscita inaspettate originate dai dispositivi della telecamera, che potrebbero indicare comunicazioni di comando e controllo (C2).
  • Risposta agli incidenti: Se si scopre che un dispositivo è stato esposto e si sospetta una compromissione, presumere la violazione. Isolare immediatamente il dispositivo dalla rete per prevenire movimenti laterali e iniziare un’analisi forense. Il dispositivo potrebbe costituire un punto d’appoggio per un’intrusione più profonda nella rete aziendale.
  • Difesa in profondità: Questa vulnerabilità evidenzia l’importanza critica della segmentazione della rete. I dispositivi IoT e OT, come le telecamere di sicurezza, non dovrebbero mai risiedere nello stesso segmento di rete di server critici o workstation degli utenti.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In