Popularny inteligentny domofon i wideofon chińskiej firmy Akuvox, E11, jest pełen kilkunastu luk, w tym krytycznego błędu, który umożliwia nieuwierzytelnione zdalne wykonanie kodu (RCE).
Mogą one pozwolić szkodliwym podmiotom na dostęp do sieci organizacji, kradzież zdjęć lub filmów przechwyconych przez urządzenie, sterowanie kamerą i mikrofonem, a nawet blokowanie lub otwieranie drzwi.
Luki zostały odkryte i ujawnione przez firmę ochroniarską Claroty's Team82, która dowiedziała się o słabościach urządzenia, kiedy przeniosła się do biura, w którym E11 był już zainstalowany.
Zainteresowanie członków zespołu Team82 urządzeniem przerodziło się w pełnowymiarowe dochodzenie, ponieważ odkryli 13 luk w zabezpieczeniach, które podzielili na trzy kategorie w oparciu o zastosowany wektor ataku.
Pierwsze dwa typy mogą wystąpić albo poprzez RCE w sieci lokalnej, albo poprzez zdalną aktywację kamery i mikrofonu E11, umożliwiając atakującemu gromadzenie i eksfiltrację nagrań multimedialnych. Trzeci wektor ataku ma na celu dostęp do zewnętrznego, niezabezpieczonego serwera protokołu przesyłania plików (FTP), umożliwiając aktorowi pobieranie przechowywanych obrazów i danych.
Krytyczny błąd RCE w Akuvox 311
Jeśli chodzi o błędy, które najbardziej się wyróżniają, jedno krytyczne zagrożenie — CVE-2023-0354, z wynikiem CVSS 9.1 — umożliwia dostęp do serwera WWW E11 bez uwierzytelniania użytkownika, co potencjalnie daje atakującemu łatwy dostęp do poufnych informacji.
„Do serwera internetowego Akuvox E11 można uzyskać dostęp bez uwierzytelniania użytkownika, co może umożliwić atakującemu dostęp do poufnych informacji, a także tworzenie i pobieranie przechwyconych pakietów ze znanymi domyślnymi adresami URL”, według agencji Cybersecurity and Infrastructure Security Agency (CISA) , który opublikował poradnik dotyczący błędów, w tym a przegląd luk w zabezpieczeniach.
Kolejna luka w zabezpieczeniach (CVE-2023-0348, z wynikiem CVSS 7.5) dotyczy aplikacji mobilnej SmartPlus, którą użytkownicy systemów iOS i Android mogą pobrać w celu interakcji z E11.
Podstawowy problem polega na implementacji przez aplikację otwartego protokołu Session Initiation Protocol (SIP), aby umożliwić komunikację między dwoma lub większą liczbą uczestników przez sieci IP. Serwer SIP nie weryfikuje autoryzacji użytkowników SmartPlus do łączenia się z określonym E11, co oznacza, że każda osoba z zainstalowaną aplikacją może łączyć się z dowolnym E11 podłączonym do sieci — w tym z tymi znajdującymi się za zaporą ogniową.
„Przetestowaliśmy to za pomocą domofonu w naszym laboratorium i drugiego przy wejściu do biura”, zgodnie z raportem Claroty. „Każdy domofon jest powiązany z różnymi kontami i różnymi stronami. Byliśmy w stanie aktywować kamerę i mikrofon, wykonując połączenie SIP z konta laboratorium do domofonu przy drzwiach”.
Luki w zabezpieczeniach Akuvox pozostają niezałatane
Zespół Team82 przedstawił swoje próby zwrócenia uwagi Akuvox na luki w zabezpieczeniach, począwszy od stycznia 2022 r., Ale po kilku próbach kontaktu konto Claroty u dostawcy zostało zablokowane. Zespół Team82 następnie opublikował blog techniczny szczegółowo opisujący luki dnia zerowego i zaangażował Centrum Koordynacji CERT (CERT/CC) oraz CISA.
Zaleca się organizacjom korzystającym z E11 odłączenie go od Internetu do czasu usunięcia luk w zabezpieczeniach lub upewnienie się, że kamera nie jest w stanie rejestrować poufnych informacji.
Według raportu Claroty, w sieci lokalnej „organizacjom zaleca się segmentację i odizolowanie urządzenia Akuvox od reszty sieci korporacyjnej”. „Urządzenie nie tylko powinno znajdować się we własnym segmencie sieci, ale komunikacja z tym segmentem powinna być ograniczona do minimalnej listy punktów końcowych”.
Mnóstwo błędów w kamerach i urządzeniach IoT
Świat coraz bardziej połączonych urządzeń stworzył rozległa powierzchnia ataku dla wyrafinowanych przeciwników.
Oczekuje się, że sama liczba przemysłowych połączeń Internetu rzeczy (IoT) — miara liczby wszystkich wdrożonych urządzeń IoT — wzrośnie ponad dwukrotnie do 36.8 miliarda w 2025 r., w porównaniu z 17.7 miliarda w 2020 r., według badań Juniper.
I chociaż Narodowy Instytut Standardów i Technologii (NIST) ustalił standard dla szyfrowanie komunikacji IoT, wiele urządzeń pozostaje podatnych na ataki i nie ma poprawek.
Akuvox jest najnowszym z długiej listy tych, których poważnie brakuje, jeśli chodzi o bezpieczeństwo urządzeń. Na przykład krytyczną luką RCE w kamerach wideo Hikvision IP była ujawniony w zeszłym roku.
W listopadzie zeszłego roku luka w serii popularnych cyfrowych systemów domofonowych oferowanych przez firmę Aiphone umożliwiła hakerom włamać się do systemów wejściowych — po prostu za pomocą urządzenia mobilnego i znacznika komunikacji bliskiego zasięgu (NFC).
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://www.darkreading.com/cloud/unpatched-zero-day-bugs-smart-intercom-remote-eavesdropping
- :Jest
- $W GÓRĘ
- 1
- 2020
- 2022
- 7
- 8
- 9
- a
- Zdolny
- O nas
- dostęp
- dostęp
- Stosownie
- Konto
- Konta
- Aktywacja
- aktorzy
- doradczy
- Po
- agencja
- Pozwalać
- pozwala
- sam
- już
- i
- i infrastruktura
- android
- Inne
- Aplikacja
- SĄ
- POWIERZCHNIA
- AS
- powiązany
- At
- atakować
- Próby
- Uwaga
- Uwierzytelnianie
- autoryzacja
- na podstawie
- BE
- Początek
- za
- pomiędzy
- Miliard
- zablokowany
- Blog
- przynieść
- Bug
- błędy
- by
- wezwanie
- aparat fotograficzny
- kamery
- CAN
- zdolny
- przechwytuje
- kategorie
- Centrum
- chiński
- kod
- zbierać
- Komunikacja
- sukcesy firma
- Obawy
- Skontaktuj się
- połączony
- połączenia
- kontrola
- koordynacja
- rdzeń
- mógłby
- Stwórz
- stworzony
- krytyczny
- ciekawość
- Bezpieczeństwo cybernetyczne
- dane
- Domyślnie
- wdrażane
- Detailing
- urządzenie
- urządzenia
- różne
- cyfrowy
- odkryty
- podzielony
- Drzwi
- Drzwi
- Podwójna
- pobieranie
- tuzin
- każdy
- bądź
- umożliwiać
- zapewnić
- Enterprise
- wejście
- Parzyste
- egzekucja
- spodziewany
- zewnętrzny
- filet
- zapora
- Firma
- i terminów, a
- ustalony
- W razie zamówieenia projektu
- znaleziono
- od
- Dający
- hakerzy
- Podświetlony
- http
- HTTPS
- zdjęcia
- realizacja
- in
- Włącznie z
- coraz bardziej
- indywidualny
- przemysłowy
- Informacja
- Infrastruktura
- zainstalowany
- przykład
- Instytut
- interakcji
- Internet
- Internet przedmiotów
- śledztwo
- zaangażowany
- iOS
- Internet przedmiotów
- urządzenia iot
- IP
- problem
- IT
- JEGO
- styczeń
- znany
- laboratorium
- Nazwisko
- firmy
- leży
- Ograniczony
- Linia
- Lista
- miejscowy
- usytuowany
- długo
- Dokonywanie
- wiele
- znaczenie
- zmierzyć
- mikrofon
- minimalny
- Aplikacje mobilne
- Aplikacja mobilna
- urządzenie przenośne
- jeszcze
- większość
- multimedialny
- narodowy
- sieć
- sieci
- NFC
- nist
- listopad
- numer
- of
- oferowany
- Biurowe
- on
- ONE
- koncepcja
- open source
- organizacja
- organizacji
- Inaczej
- opisane
- zasięg
- własny
- Uczestnicy
- szczególny
- strony
- plato
- Analiza danych Platona
- PlatoDane
- Popularny
- potencjalnie
- protokół
- opublikowany
- nagranie
- pozostawać
- zdalny
- raport
- REST
- s
- bezpieczeństwo
- segment
- wrażliwy
- Serie
- Sesja
- Osiadły
- kilka
- powinien
- po prostu
- mądry
- wyrafinowany
- Źródło
- stoisko
- standard
- standardy
- przechowywany
- Następnie
- systemy
- TAG
- cele
- Techniczny
- Technologia
- że
- Połączenia
- ich
- Te
- rzeczy
- Trzeci
- groźba
- trzy
- Przez
- do
- Kwota produktów:
- przenieść
- Obrócony
- typy
- odblokować
- Użytkownik
- Użytkownicy
- Wykorzystując
- sprzedawca
- zweryfikować
- Wideo
- Luki w zabezpieczeniach
- wrażliwość
- Wrażliwy
- sieć
- serwer wWW
- DOBRZE
- który
- Podczas
- w
- w ciągu
- bez
- świat
- zefirnet
- podatności na zero dni