Les caméras NUUO sont des dispositifs d’enregistrement vidéo et de surveillance connectés au réseau, couramment utilisés pour le suivi de la sécurité physique dans les environnements professionnels et industriels. Leur rôle dans la fourniture d’une surveillance visuelle critique signifie qu’une compromission peut avoir de graves conséquences dans le monde réel, rendant inopérant le dispositif de sécurité d’une organisation.

L’impact de cette vulnérabilité est une compromission complète du système par un attaquant distant non authentifié. Cela permet à un adversaire d’obtenir le contrôle total du dispositif sans avoir besoin d’un accès préalable ou d’identifiants. Le risque est particulièrement élevé pour les caméras NUUO exposées directement sur Internet.

Un exploit public pour cette vulnérabilité a été divulgué, rendant extrêmement élevée la probabilité d’une activité d’exploitation large et active. Les attaquants peuvent utiliser des scans automatisés pour localiser et compromettre des dispositifs vulnérables à grande échelle. Une caméra compromise peut être utilisée pour exfiltrer des flux vidéo sensibles, servir de point d’accès au réseau interne de l’entreprise ou être intégrée dans un botnet pour des attaques DDoS.

Produit	Caméra NUUO
Date	2025-12-05 12:27:14

Résumé technique

La vulnérabilité est un défaut classique d’injection de commandes, identifié comme CWE-78 : Neutralisation inappropriée d’éléments spéciaux utilisés dans une commande de système d’exploitation (‘Injection de commande OS’). Elle est présente dans le firmware des dispositifs NUUO Camera.

La cause principale est l’absence de nettoyage des entrées dans le script handle_config.php. Plus précisément, la fonction print_file accepte un paramètre contrôlé par l’utilisateur appelé log. La valeur de ce paramètre est transmise directement à une commande au niveau du système sans être validée ou nettoyée des métacaractères du shell.

La chaîne d’attaque est la suivante :

1. Un attaquant distant non authentifié envoie une requête HTTP spécialement conçue vers le point de terminaison /handle_config.php.
2. L’attaquant intègre des commandes arbitraires du système d’exploitation dans le paramètre log, en utilisant des métacaractères du shell tels que le point-virgule (;) ou les backticks (`) pour concaténer les commandes.
3. La fonction backend print_file concatène le paramètre malveillant log dans une chaîne qui est ensuite exécutée par le système d’exploitation sous-jacent.

Une représentation conceptuelle de la logique du code vulnérable est :

<?php
// /handle_config.php

function print_file($filename) {
  // La valeur de $_GET["log"] est transmise directement à une commande shell
  // sans nettoyage, permettant une injection de commande.
  system("print " . $filename);
}

$log_file = $_GET["log"];
print_file($log_file);
?>

Versions vulnérables :

• Les versions du firmware NUUO Camera jusqu’à la 20250203 incluse sont vulnérables.

Disponibilité du correctif :

• À l’heure actuelle, aucun correctif officiel n’est disponible de la part du fournisseur.

Recommandations

• Désactiver ou isoler immédiatement : Comme il n’existe pas de correctif officiel, la recommandation principale est de mettre immédiatement hors service et de remplacer les dispositifs NUUO Camera concernés. Si un remplacement immédiat n’est pas possible, le dispositif doit être déconnecté de tout réseau non fiable, en particulier d’Internet.
• Atténuation au niveau du réseau : Si le dispositif doit rester opérationnel sur un réseau interne, limitez l’accès à son interface web (généralement les ports 80/443) à un VLAN de gestion dédié et fiable. Utilisez un pare-feu d’application web (WAF) ou un reverse proxy pour créer une règle qui refuse explicitement toute requête vers le point de terminaison /handle_config.php.
• Détection et surveillance de la compromission :
  • Analysez les journaux d’accès du serveur web sur les dispositifs ou sur les équipements réseau en amont pour détecter toute requête vers /handle_config.php.
  • Examinez ces journaux à la recherche de caractères suspects ou de chaînes de commande dans le paramètre log (par exemple, ;, |, wget, curl, nc).
  • Surveillez le trafic réseau pour détecter les connexions sortantes inattendues provenant des caméras, ce qui pourrait indiquer des communications de commande et de contrôle (C2).

• Réponse aux incidents : Si vous découvrez qu’un dispositif a été exposé et que vous suspectez une compromission, présumez la violation. Isolez immédiatement le dispositif du réseau pour empêcher tout mouvement latéral et commencez une analyse forensique. Le dispositif pourrait constituer un point d’ancrage pour une intrusion plus profonde dans le réseau de l’entreprise.
• Défense en profondeur : Cette vulnérabilité souligne l’importance critique de la segmentation du réseau. Les dispositifs IoT et OT, comme les caméras de sécurité, ne devraient jamais résider sur le même segment réseau que les serveurs critiques ou les postes de travail des utilisateurs.

[Callforaction-THREAT-Footer]