Las cámaras NUUO son dispositivos de grabación de video y vigilancia conectados a la red, comúnmente utilizados para el monitoreo de seguridad física en entornos corporativos e industriales. Su papel al proporcionar una vigilancia visual crítica significa que una vulneración puede tener graves consecuencias en el mundo real, dejando efectivamente ciega la configuración de seguridad de una organización.

El impacto de esta vulnerabilidad es una compromisión completa del sistema por parte de un atacante remoto no autenticado. Esto permite que un adversario obtenga el control total del dispositivo sin necesidad de acceso previo o credenciales. El riesgo es particularmente elevado para las cámaras NUUO expuestas directamente a internet.

Se ha divulgado un exploit público para esta vulnerabilidad, lo que hace extremadamente alta la probabilidad de una actividad de explotación amplia y activa. Los atacantes pueden utilizar escaneos automatizados para localizar y comprometer dispositivos vulnerables a gran escala. Una cámara comprometida puede utilizarse para exfiltrar flujos de video sensibles, actuar como punto de acceso a la red interna corporativa o ser asimilada en una botnet para ataques DDoS.

Producto	Cámara NUUO
Fecha	2025-12-05 12:27:14

Resumen técnico

La vulnerabilidad es un defecto clásico de inyección de comandos, identificado como CWE-78: Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’). Está presente en el firmware de los dispositivos de cámara NUUO.

La causa principal es la ausencia de saneamiento de la entrada en el script handle_config.php. En particular, la función print_file acepta un parámetro controlado por el usuario llamado log. El valor de dicho parámetro se pasa directamente a un comando a nivel de sistema sin ser validado o saneado de los metacaracteres de la shell.

La cadena de ataque es la siguiente:

1. Un atacante remoto no autenticado envía una solicitud HTTP especialmente creada al endpoint /handle_config.php.
2. El atacante incorpora comandos arbitrarios del sistema operativo dentro del parámetro log, utilizando metacaracteres de la shell como el punto y coma (;) o las comillas invertidas (`) para concatenar comandos.
3. La función de backend print_file concatena el parámetro malicioso log en una cadena que luego es ejecutada por el sistema operativo subyacente.

Una representación conceptual de la lógica del código vulnerable es:

<?php
// /handle_config.php

function print_file($filename) {
  // El valor de $_GET["log"] se pasa directamente a un comando de shell
  // sin saneamiento, permitiendo la inyección de comandos.
  system("print " . $filename);
}

$log_file = $_GET["log"];
print_file($log_file);
?>

Versiones vulnerables:

• Las versiones del firmware de la cámara NUUO hasta la 20250203 incluida son vulnerables.

Disponibilidad de la corrección:

• Actualmente no hay ningún parche oficial disponible por parte del proveedor.

Recomendaciones

• Desactivar o aislar inmediatamente: Dado que no existe un parche oficial, la recomendación principal es retirar inmediatamente y reemplazar los dispositivos de cámara NUUO afectados. Si el reemplazo inmediato no es posible, el dispositivo debe desconectarse de cualquier red no confiable, especialmente de internet.
• Mitigación a nivel de red: Si el dispositivo debe permanecer operativo en una red interna, limite el acceso a su interfaz web (típicamente puertos 80/443) a una VLAN de gestión dedicada y confiable. Utilice un Web Application Firewall (WAF) o un proxy inverso para crear una regla que deniegue explícitamente cualquier solicitud al endpoint /handle_config.php.
• Detección y monitoreo de la compromisión:
  • Analice los registros de acceso del servidor web en los dispositivos o en los equipos de red upstream en busca de solicitudes a /handle_config.php.
  • Examine dichos registros en busca de caracteres sospechosos o cadenas de comando dentro del parámetro log (por ejemplo, ;, |, wget, curl, nc).
  • Monitoree el tráfico de red en busca de conexiones salientes inesperadas originadas por los dispositivos de la cámara, que podrían indicar comunicaciones de comando y control (C2).

• Respuesta a incidentes: Si se descubre que un dispositivo ha estado expuesto y se sospecha una compromisión, presuma la violación. Aísle inmediatamente el dispositivo de la red para prevenir movimientos laterales e inicie un análisis forense. El dispositivo podría constituir un punto de apoyo para una intrusión más profunda en la red corporativa.
• Defensa en profundidad: Esta vulnerabilidad destaca la importancia crítica de la segmentación de la red. Los dispositivos IoT y OT, como las cámaras de seguridad, nunca deberían residir en el mismo segmento de red que los servidores críticos o las estaciones de trabajo de los usuarios.

[Callforaction-THREAT-Footer]