Wemo Mini Smart Plug V2, যা ব্যবহারকারীদের একটি মোবাইল অ্যাপের মাধ্যমে এটিতে প্লাগ করা যেকোনো কিছুকে দূরবর্তীভাবে নিয়ন্ত্রণ করতে দেয়, এর একটি নিরাপত্তা দুর্বলতা রয়েছে যা সাইবার আক্রমণকারীদের বিভিন্ন ধরনের খারাপ ফলাফলের সুইচ ছুঁড়তে দেয়। এর মধ্যে রয়েছে দূরবর্তীভাবে ইলেকট্রনিক্স চালু এবং বন্ধ করা, এবং একটি অভ্যন্তরীণ নেটওয়ার্কের গভীরে যাওয়ার সম্ভাবনা, বা অতিরিক্ত ডিভাইসগুলিতে হপ-স্কচিং।
ভোক্তা এবং ব্যবসার দ্বারা একইভাবে ব্যবহৃত, স্মার্ট প্লাগ একটি বিদ্যমান আউটলেটে প্লাগ করে এবং ইউনিভার্সাল প্লাগ-এন-প্লে (UPNP) পোর্ট ব্যবহার করে একটি অভ্যন্তরীণ Wi-Fi নেটওয়ার্ক এবং বিস্তৃত ইন্টারনেটের সাথে সংযোগ করে। ব্যবহারকারীরা তারপরে একটি মোবাইল অ্যাপের মাধ্যমে ডিভাইসটিকে নিয়ন্ত্রণ করতে পারে, মূলত পুরানো-বিদ্যালয়ের ল্যাম্প, ফ্যান এবং অন্যান্য ইউটিলিটি আইটেমগুলিকে "স্মার্ট" করার উপায় সরবরাহ করে৷ অ্যাপটি অ্যালেক্সা, গুগল অ্যাসিস্ট্যান্ট এবং অ্যাপল হোম কিটের সাথে একীভূত হয়, যখন সুবিধার জন্য সময় নির্ধারণের মতো অতিরিক্ত বৈশিষ্ট্যগুলি অফার করে।
ত্রুটি (CVE-2023-27217) হল a বাফার-ওভারফ্লো দুর্বলতা এটি ডিভাইসের মডেল F7C063 কে প্রভাবিত করে এবং রিমোট কমান্ড ইনজেকশনের অনুমতি দেয়, Sternum এর গবেষকদের মতে যারা এটি আবিষ্কার করেছেন। দুর্ভাগ্যবশত, যখন তারা একটি ফিক্স করার জন্য ডিভাইস নির্মাতা বেলকিনকে ট্যাপ করেছিল, তখন তাদের বলা হয়েছিল যে ডিভাইসটি শেষ-জীবনের কারণে কোনো ফার্মওয়্যার আপডেট আসন্ন হবে না।
"এদিকে, এটি অনুমান করা নিরাপদ যে এই ডিভাইসগুলির অনেকগুলি এখনও বন্য অঞ্চলে স্থাপন করা হয়েছে," তারা একটি বিশ্লেষণে ব্যাখ্যা করা হয়েছে 16 মে, Amazon-এ স্মার্ট প্লাগের 17,000 রিভিউ এবং চার তারকা রেটিং উদ্ধৃত করে। "একা অ্যামাজনে মোট বিক্রয় কয়েক হাজারের মধ্যে হওয়া উচিত।"
ইগাল জেইফম্যান, স্টার্নামের বিপণনের ভাইস প্রেসিডেন্ট, ডার্ক রিডিংকে বলেছেন যে আক্রমণের পৃষ্ঠের জন্য একটি কম অনুমান। "এটা আমরা খুব রক্ষণশীল হচ্ছে," তিনি নোট. “গবেষণা শুরু হলে আমাদের ল্যাবে আমরা তিনজন একা ছিলাম। সেগুলি এখন আনপ্লাগ করা হয়েছে।”
তিনি যোগ করেছেন, "যদি ব্যবসায়গুলি তাদের নেটওয়ার্কের মধ্যে ওয়েমো প্লাগইনের এই সংস্করণটি ব্যবহার করে, তবে তাদের বন্ধ করা উচিত বা (অন্তত) নিশ্চিত করা উচিত যে ইউনিভার্সাল প্লাগ-এন-প্লে (ইউপিএনপি) পোর্টগুলি দূরবর্তী অ্যাক্সেসের সংস্পর্শে আসছে না। যদি সেই ডিভাইসটি একটি গুরুত্বপূর্ণ ভূমিকা পালন করে বা একটি সমালোচনামূলক নেটওয়ার্ক বা সম্পদের সাথে সংযুক্ত থাকে, তাহলে আপনি ভালো অবস্থায় নেই।"
CVE-2023-27217: নামে কী আছে?
ফার্মওয়্যার যেভাবে স্মার্ট প্লাগের নামকরণ পরিচালনা করে তাতে বাগটি বিদ্যমান। যদিও “Wemo mini 6E9” ডিভাইসটির ডিফল্ট নাম বক্সের বাইরে, ব্যবহারকারীরা ফার্মওয়্যারে যাকে “FriendlyName” ভেরিয়েবল হিসাবে মনোনীত করা হয়েছে তা ব্যবহার করে তাদের ইচ্ছামতো এটির নাম পরিবর্তন করতে পারে — উদাহরণস্বরূপ বা অনুরূপ এটিকে “রান্নাঘর আউটলেট”-এ পরিবর্তন করা।
"ব্যবহারকারীর ইনপুটের জন্য এই বিকল্পটি ইতিমধ্যেই আমাদের স্পাইডি ইন্দ্রিয়গুলিকে ঝাঁকুনি দিয়েছিল, বিশেষ করে যখন আমরা দেখেছি যে অ্যাপে নাম পরিবর্তন করা কিছু গার্ডেলের সাথে এসেছে, [বিশেষত একটি 30-অক্ষরের সীমা]," স্টার্নাম গবেষকরা উল্লেখ করেছেন৷ "আমাদের জন্য, এটি অবিলম্বে দুটি প্রশ্ন উত্থাপন করেছে: 'কে বলে?' এবং 'যদি আমরা এটিকে ৩০টির বেশি অক্ষর করতে পারি তাহলে কী হবে?'
যখন মোবাইল অ্যাপ তাদের 30 অক্ষরের বেশি একটি নাম তৈরি করার অনুমতি দেয়নি, তখন তারা pyWeMo এর মাধ্যমে ডিভাইসের সাথে সরাসরি সংযোগ করার সিদ্ধান্ত নেয়, WeMo ডিভাইসের আবিষ্কার এবং নিয়ন্ত্রণের জন্য একটি ওপেন-সোর্স পাইথন মডিউল। তারা দেখেছে যে অ্যাপটিকে ফাঁকি দেওয়ার ফলে তারা একটি দীর্ঘ নাম সফলভাবে ইনপুট করার জন্য রেললাইনের চারপাশে যেতে দেয়।
"নিষেধাজ্ঞাটি শুধুমাত্র অ্যাপ দ্বারা প্রয়োগ করা হয়েছিল এবং ফার্মওয়্যার কোড দ্বারা নয়," তারা উল্লেখ করেছে। "এই ধরনের ইনপুট বৈধতা শুধুমাত্র 'সারফেস' স্তরে পরিচালিত হওয়া উচিত নয়।"
মেমরি স্ট্রাকচার দ্বারা ওভারস্টাফড 'ফ্রেন্ডলিনাম' ভেরিয়েবলটি কীভাবে পরিচালনা করা হয়েছিল তা পর্যবেক্ষণ করে, গবেষকরা দেখেছেন যে 80 অক্ষরের চেয়ে দীর্ঘ যে কোনও নামের দ্বারা স্তূপের মেটাডেটা নষ্ট হচ্ছে। সেই দূষিত মানগুলি পরবর্তী হিপ অপারেশনগুলিতে ব্যবহার করা হচ্ছিল, এইভাবে ছোট ক্র্যাশের দিকে পরিচালিত করে। এটি একটি বাফার ওভারফ্লো এবং ফলাফল মেমরি পুনরায় বরাদ্দ নিয়ন্ত্রণ করার ক্ষমতা ফলাফল বিশ্লেষণ অনুযায়ী.
Zeifman বলেছেন, "কোনও অন-ডিভাইস নিরাপত্তা ছাড়াই সংযুক্ত ডিভাইসগুলি ব্যবহার করার ঝুঁকি সম্পর্কে এটি একটি ভাল জাগরণ কল, যা আজকের ডিভাইসের 99.9%"।
সহজ শোষণের জন্য সতর্ক থাকুন
যদিও স্টার্নাম ধারণার শোষণের প্রমাণ প্রকাশ করছে না বা বাস্তব-বিশ্ব আক্রমণ প্রবাহ অনুশীলনে কেমন হবে তা গণনা করছে না, জেইফম্যান বলেছেন দুর্বলতা শোষণ করা কঠিন নয়। ডিভাইসটি ইন্টারনেটের জন্য উন্মুক্ত থাকলে আক্রমণকারীর হয় নেটওয়ার্ক অ্যাক্সেস বা দূরবর্তী ইউনিভার্সাল প্লাগ-এন-প্লে অ্যাক্সেসের প্রয়োজন হবে।
"এর বাইরে, এটি একটি এক্সিকিউটেবল হিপ সহ একটি ডিভাইসে একটি তুচ্ছ বাফার ওভারফ্লো," তিনি ব্যাখ্যা করেন। "কঠিন দুর্গ পড়ে গেছে।"
তিনি উল্লেখ করেছেন যে ওয়েমোর ক্লাউড অবকাঠামো বিকল্পের মাধ্যমেও আক্রমণ চালানো হতে পারে।
"ওয়েমো পণ্যগুলি একটি ক্লাউড প্রোটোকল (মূলত একটি STUN টানেল) প্রয়োগ করে যা নেটওয়ার্ক ঠিকানা ট্র্যাভার্সাল (NAT) রোধ করার উদ্দেশ্যে এবং মোবাইল অ্যাপটিকে ইন্টারনেটের মাধ্যমে আউটলেট পরিচালনা করার অনুমতি দেয়," Zeifman বলেছেন। "যদিও আমরা ওয়েমোর ক্লাউড প্রোটোকলের মধ্যে খুব গভীরভাবে তাকাইনি, আমরা অবাক হব না যদি এই আক্রমণটিও সেভাবে প্রয়োগ করা যায়।"
একটি প্যাচের অনুপস্থিতিতে, ডিভাইস ব্যবহারকারীদের কিছু প্রশমন আছে যা তারা নিতে পারে; উদাহরণস্বরূপ, যতক্ষণ পর্যন্ত স্মার্ট প্লাগ ইন্টারনেটের সংস্পর্শে না আসে, আক্রমণকারীকে একই নেটওয়ার্কে অ্যাক্সেস পেতে হবে, যা শোষণকে আরও জটিল করে তোলে।
স্টার্নাম নিম্নলিখিত সাধারণ জ্ঞানের সুপারিশগুলি বিশদভাবে বর্ণনা করেছে:
- ওয়েবো স্মার্ট প্লাগ V2 UPNP পোর্টগুলি সরাসরি বা পোর্ট ফরওয়ার্ডিংয়ের মাধ্যমে ইন্টারনেটে প্রকাশ করা এড়িয়ে চলুন।
- আপনি যদি একটি সংবেদনশীল নেটওয়ার্কে স্মার্ট প্লাগ V2 ব্যবহার করেন, তাহলে আপনাকে নিশ্চিত করতে হবে যে এটি সঠিকভাবে ভাগ করা হয়েছে এবং সেই ডিভাইসটি একই সাবনেটের অন্যান্য সংবেদনশীল ডিভাইসের সাথে যোগাযোগ করতে পারে না।
IoT নিরাপত্তা পিছিয়ে চলতে থাকে
যতদূর গবেষণা থেকে বিস্তৃত টেকঅ্যাওয়ে, ফলাফলগুলি এই সত্যটি দেখায় যে ইন্টারনেট অফ থিংস (IoT) বিক্রেতারা এখনও নকশা দ্বারা নিরাপত্তা সঙ্গে সংগ্রাম - কোন স্মার্ট ডিভাইস ইনস্টল করার সময় কোন সংস্থাগুলিকে বিবেচনায় নেওয়া উচিত৷
"আমি মনে করি এটি এই গল্পের মূল বিষয়: যখন ডিভাইসগুলি কোনও অন-ডিভাইস সুরক্ষা ছাড়াই পাঠানো হয় তখন এটি ঘটে," জিফম্যান নোট করে৷ "যদি আপনি শুধুমাত্র উপর নির্ভর করে প্রতিক্রিয়াশীল নিরাপত্তা প্যাচিং, বেশিরভাগ ডিভাইস নির্মাতারা আজকের মতো করে, দুটি জিনিস নিশ্চিত। এক, আপনি সবসময় আক্রমণকারীর থেকে এক ধাপ পিছিয়ে থাকবেন; এবং দুই, একদিন সেই প্যাচ আসা বন্ধ হয়ে যাবে।"
IoT ডিভাইসগুলিকে "সমস্ত স্তরের এন্ডপয়েন্ট নিরাপত্তার সাথে সজ্জিত করা উচিত যা আমরা আশা করি অন্যান্য সম্পদ, আমাদের ডেস্কটপ, ল্যাপটপ, সার্ভার ইত্যাদি," তিনি বলেছেন। "যদি আপনার হার্ট মনিটর গেমিং ল্যাপটপের চেয়ে কম সুরক্ষিত হয়, কিছু ভয়ঙ্করভাবে ভুল হয়েছে - এবং এটি হয়েছে।"
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- প্লেটোএআইস্ট্রিম। Web3 ডেটা ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- অ্যাড্রিয়েন অ্যাশলির সাথে ভবিষ্যত মিন্টিং। এখানে প্রবেশ করুন.
- PREIPO® এর সাথে PRE-IPO কোম্পানিতে শেয়ার কিনুন এবং বিক্রি করুন। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/ics-ot/belkins-wemo-smart-plug-opens-networks-cyberattacks
- : আছে
- : হয়
- :না
- 000
- 17
- 30
- 7
- a
- ক্ষমতা
- সম্পর্কে
- প্রবেশ
- অনুযায়ী
- হিসাব
- অতিরিক্ত
- ঠিকানা
- যোগ করে
- আলেক্সা
- একইভাবে
- অনুমতি
- অনুমতি
- একা
- ইতিমধ্যে
- এছাড়াও
- সর্বদা
- মর্দানী স্ত্রীলোক
- an
- বিশ্লেষণ
- এবং
- কোন
- কিছু
- অ্যাপ্লিকেশন
- আপেল
- রয়েছি
- কাছাকাছি
- AS
- সম্পদ
- সম্পদ
- সহায়ক
- At
- আক্রমণ
- আক্রমন
- খারাপ
- মূলত
- BE
- পিছনে
- হচ্ছে
- বক্স
- বৃহত্তর
- বাফার
- বাফার ওভারফ্লো
- নম
- ব্যবসা
- by
- কল
- মাংস
- CAN
- না পারেন
- কিছু
- পরিবর্তন
- অক্ষর
- মেঘ
- মেঘ অবকাঠামো
- কোড
- আসছে
- যোগাযোগ
- জটিল
- সংযোগ করা
- সংযুক্ত
- সংযোগ স্থাপন করে
- রক্ষণশীল
- কনজিউমার্স
- চলতে
- নিয়ন্ত্রণ
- সুবিধা
- দূষিত
- পারা
- সৃষ্টি
- সংকটপূর্ণ
- cyberattacks
- অন্ধকার
- অন্ধকার পড়া
- দিন
- সিদ্ধান্ত নিয়েছে
- গভীর
- ডিফল্ট
- মোতায়েন
- মনোনীত
- বিশদ
- যন্ত্র
- ডিভাইস
- কঠিন
- সরাসরি
- আবিষ্কৃত
- আবিষ্কার
- do
- সহজ
- পারেন
- ইলেক্ট্রনিক্স
- শেষপ্রান্ত
- এন্ডপয়েন্ট নিরাপত্তা
- নিশ্চিত করা
- সজ্জিত
- বিশেষত
- মূলত
- হিসাব
- ইত্যাদি
- উদাহরণ
- বিদ্যমান
- বিদ্যমান
- আশা করা
- ব্যাখ্যা
- কাজে লাগান
- শোষণ
- উদ্ভাসিত
- সত্য
- পতিত
- ভক্ত
- এ পর্যন্ত
- বৈশিষ্ট্য
- তথ্যও
- ঠিক করা
- ত্রুটি
- প্রবাহ
- অনুসরণ
- জন্য
- আসন্ন
- পাওয়া
- থেকে
- দূ্যত
- পাওয়া
- ভাল
- গুগল
- মহান
- ছিল
- হ্যান্ডলগুলি
- এরকম
- আছে
- he
- হৃদয়
- হোম
- কিভাবে
- HTTPS দ্বারা
- শত শত
- i
- if
- অবিলম্বে
- বাস্তবায়ন
- বাস্তবায়িত
- in
- অন্তর্ভুক্ত করা
- পরিকাঠামো
- ইনপুট
- ইনস্টল করার
- উদাহরণ
- সংহত
- অভ্যন্তরীণ
- Internet
- কিছু ইন্টারনেট
- মধ্যে
- IOT
- আইএসএন
- IT
- আইটেম
- নিজেই
- মাত্র
- চাবি
- গবেষণাগার
- ল্যাপটপ
- ল্যাপটপের
- নেতৃত্ব
- অন্তত
- কম
- উচ্চতা
- মত
- সম্ভবত
- LIMIT টি
- দীর্ঘ
- আর
- দেখুন
- মত চেহারা
- কম
- করা
- সৃষ্টিকর্তা
- তৈরি করে
- পরিচালনা করা
- পরিচালিত
- নির্মাতারা
- অনেক
- Marketing
- সর্বোচ্চ প্রস্থ
- মে..
- অভিপ্রেত
- এদিকে
- স্মৃতি
- মেটাডাটা
- মোবাইল
- মোবাইল অ্যাপ
- মডেল
- মডিউল
- মনিটর
- অধিক
- সেতু
- চলন্ত
- নাম
- নামকরণ
- প্রয়োজন
- নেটওয়ার্ক
- নেটওয়ার্ক
- না।
- সুপরিচিত
- নোট
- এখন
- প্রাপ্ত
- of
- বন্ধ
- নৈবেদ্য
- on
- ONE
- কেবল
- খোলা
- ওপেন সোর্স
- প্রর্দশিত
- পরিচালনা করা
- অপারেশনস
- পছন্দ
- or
- ক্রম
- সংগঠন
- অন্যান্য
- আমাদের
- বাইরে
- ফলাফল
- বাহিরে
- তালি
- প্যাচ
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- নাটক
- প্লাগ
- প্লাগ ইন করা
- প্লাগ লাগানো
- বিন্দু
- সম্ভাব্য
- অনুশীলন
- সভাপতি
- পণ্য
- সঠিকভাবে
- রক্ষা
- প্রোটোকল
- পাইথন
- প্রশ্ন
- উত্থাপিত
- নির্ধারণ
- পড়া
- বাস্তব জগতে
- সুপারিশ
- নিয়মিত
- নির্ভর করা
- দূরবর্তী
- দূরবর্তী প্রবেশাধিকার
- গবেষণা
- গবেষকরা
- সীমাবদ্ধতা
- ফলে এবং
- পর্যালোচনা
- ঝুঁকি
- ভূমিকা
- s
- নিরাপদ
- বিক্রয়
- একই
- বলেছেন
- পূর্বপরিকল্পনা
- নিরাপদ
- নিরাপত্তা
- সুরক্ষা দুর্বলতা
- সংবেদনশীল
- সার্ভারের
- আকৃতি
- জাহাজে
- সংক্ষিপ্ত
- উচিত
- গ্লাসকেস
- অনুরূপ
- থেকে
- স্মার্ট
- কিছু
- কিছু
- বিশেষভাবে
- শুরু
- ধাপ
- এখনো
- থামুন
- গল্প
- গঠন
- সংগ্রাম
- সাবনেট
- পরবর্তী
- সফলভাবে
- এমন
- পৃষ্ঠতল
- বিস্মিত
- সুইচ
- গ্রহণ করা
- takeaways
- ট্যাপ করা হয়েছে
- বলে
- চেয়ে
- যে
- সার্জারির
- তাদের
- তাহাদিগকে
- তারপর
- এইগুলো
- তারা
- কিছু
- মনে
- এই
- সেগুলো
- হাজার হাজার
- তিন
- দ্বারা
- থেকে
- আজ
- অত্যধিক
- মোট
- বাঁক
- পালা
- দুই
- দুর্ভাগ্যবশত
- সার্বজনীন
- সংযুক্ত
- আপডেট
- us
- ব্যবহৃত
- ব্যবহারকারী
- ব্যবহারকারী
- ব্যবহার
- উপযোগ
- বৈধতা
- মানগুলি
- বৈচিত্র্য
- বিক্রেতারা
- সংস্করণ
- খুব
- মাধ্যমে
- উপরাষ্ট্রপতি
- দুর্বলতা
- ছিল
- উপায়..
- we
- আমরা একটি
- ছিল
- কি
- কখন
- যে
- যখন
- হু
- ওয়াইফাই
- বন্য
- ইচ্ছা
- সঙ্গে
- ছাড়া
- would
- ভুল
- আপনি
- আপনার
- zephyrnet