Wemo Mini Smart Plug V2, ki uporabnikom omogoča daljinsko upravljanje vsega, kar je vanj priključeno prek mobilne aplikacije, ima varnostno ranljivost, ki kibernetskim napadalcem omogoča, da vklopijo različne slabe rezultate. Ti vključujejo daljinsko vklapljanje in izklapljanje elektronike ter možnost premikanja globlje v notranje omrežje ali prehod na dodatne naprave.
Smart Plug, ki ga uporabljajo tako potrošniki kot podjetja, se priključi v obstoječo vtičnico in se poveže z notranjim omrežjem Wi-Fi in s širšim internetom prek vrat Universal Plug-n-Play (UPNP). Uporabniki lahko nato upravljajo napravo prek mobilne aplikacije, ki v bistvu ponuja način, kako narediti stare svetilke, ventilatorje in druge uporabne predmete "pametne". Aplikacija se integrira z Alexa, Google Assistant in Apple Home Kit, hkrati pa ponuja dodatne funkcije, kot je razporejanje za udobje.
Napaka (CVE-2023-27217) je a ranljivost prekoračitve medpomnilnika ki vpliva na model naprave F7C063 in omogoča daljinsko vbrizgavanje ukazov, pravijo raziskovalci pri Sternumu, ki so to odkrili. Na žalost, ko so se za popravek obrnili na proizvajalca naprave, Belkin, so jim povedali, da posodobitev vdelane programske opreme ne bo na voljo, ker je napravi potekla življenjska doba.
"Medtem pa je varno domnevati, da je veliko teh naprav še vedno nameščenih v naravi," so pojasnjeno v analizi on May 16, citing the 17,000 reviews and the four-star rating the Smart Plug has on Amazon. “The total sales on Amazon alone should be in the hundreds of thousands.”
Igal Zeifman, podpredsednik trženja za Stenum, je za Dark Reading povedal, da je to nizka ocena za napadalno površino. "Zaradi tega smo zelo konzervativni," ugotavlja. »Samo v našem laboratoriju smo imeli tri, ko se je začela raziskava. Ti so zdaj odklopljeni.«
Dodaja: »Če podjetja uporabljajo to različico vtičnika Wemo v svojem omrežju, bi se morala ustaviti ali (vsaj) zagotoviti, da vrata Universal Plug-n-Play (UPNP) niso izpostavljena oddaljenemu dostopu. Če ta naprava igra ključno vlogo ali je povezana s kritičnim omrežjem ali sredstvom, niste v dobri formi.«
CVE-2023-27217: Kaj je v imenu?
Napaka obstaja v načinu, kako vdelana programska oprema obravnava poimenovanje pametnega vtiča. Medtem ko je »Wemo mini 6E9« privzeto ime naprave takoj po namestitvi, jo lahko uporabniki poljubno preimenujejo s tem, kar je v vdelani programski opremi označeno kot spremenljivka »FriendlyName« – spremenijo jo na primer v »kuhinjska vtičnica« ali podobno.
"Ta možnost za uporabniški vnos je že povzročila mravljinčenje naših Spideyjevih čutov, še posebej, ko smo videli, da je sprememba imena v aplikaciji prinesla nekaj zaščitnih ograj, [natančneje omejitev 30 znakov]," so ugotovili raziskovalci Sternuma. »Za nas je to takoj sprožilo dve vprašanji: 'Kdo pravi?' in 'Kaj se zgodi, če nam uspe narediti več kot 30 znakov?'«
Ko jim mobilna aplikacija ni dovolila ustvariti imena, daljšega od 30 znakov, so se odločili za neposredno povezavo z napravo prek pyWeMo, odprtokodnega modula Python za odkrivanje in nadzor naprav WeMo. Ugotovili so, da jim je izogibanje aplikaciji omogočilo, da so obšli varovalno ograjo, da bi uspešno vnesli daljše ime.
"Omejitev je uveljavila samo aplikacija sama in ne koda vdelane programske opreme," so opozorili. "Takega preverjanja vnosa ne bi smeli upravljati samo na 'površinski' ravni."
Ko so raziskovalci opazovali, kako je pomnilniška struktura obravnavala prenapolnjeno spremenljivko 'FriendlyName', so ugotovili, da so bili metapodatki kopice pokvarjeni s katerim koli imenom, daljšim od 80 znakov. Te pokvarjene vrednosti so bile nato uporabljene v naslednjih operacijah kopice, kar je povzročilo kratke zrušitve. To je povzročilo prepolnitev medpomnilnika in zmožnost nadzora posledične ponovne dodelitve pomnilnika, glede na analizo.
»To je dober opozorilo glede tveganja uporabe povezanih naprav brez kakršne koli varnosti na napravi, kar je 99.9 % današnjih naprav,« pravi Zeifman.
Pazite na preprosto izkoriščanje
Medtem ko Sternum ne objavlja dokazila o izkoriščanju koncepta ali našteva, kako bi tok napada v resničnem svetu izgledal v praksi, Zeifman pravi, da ranljivosti ni težko izkoristiti. Napadalec bi potreboval omrežni dostop ali oddaljeni univerzalni dostop Plug-n-Play, če je naprava odprta za internet.
»Poleg tega gre za nepomembno prekoračitev medpomnilnika v napravi z izvršljivo kopico,« pojasnjuje. "Padli so trši bastioni."
Opozoril je, da je verjetno, da bi se lahko napadi izvajali tudi prek možnosti Wemove infrastrukture v oblaku.
»Izdelki Wemo izvajajo tudi protokol v oblaku (v bistvu tunel STUN), ki naj bi se izognil prehodu omrežnih naslovov (NAT) in omogočil mobilni aplikaciji, da upravlja vtičnico prek interneta,« pravi Zeifman. "Čeprav Wemojevega protokola v oblaku nismo preučili preveč, ne bi bili presenečeni, če bi ta napad lahko izvedli tudi na ta način."
Če popravka ni, imajo uporabniki naprav nekaj ublažitev, ki jih lahko sprejmejo; na primer, dokler Smart Plug ni izpostavljen internetu, bi moral napadalec pridobiti dostop do istega omrežja, zaradi česar je izkoriščanje bolj zapleteno.
Sternum je opisal naslednja zdravorazumska priporočila:
- Izogibajte se izpostavljanju vrat Wemo Smart Plug V2 UPNP internetu, bodisi neposredno bodisi prek posredovanja vrat.
- Če uporabljate Smart Plug V2 v občutljivem omrežju, morate zagotoviti, da je pravilno segmentiran in da naprava ne more komunicirati z drugimi občutljivimi napravami v istem podomrežju.
Varnost interneta stvari še naprej zaostaja
Kar zadeva širše zaključke iz raziskave, ugotovitve prikazujejo dejstvo, da so prodajalci interneta stvari (IoT) se še vedno bori z varnostjo po zasnovi — kaj naj organizacije upoštevajo pri nameščanju katere koli pametne naprave.
“I think this is the key point of this story: This is what happens when devices are shipped without any on-device protection,” Zeifman notes. “If you only rely on odzivni varnostni popravek, kot to počne večina proizvajalcev naprav danes, je gotovo dvoje. Prvič, vedno boste en korak za napadalcem; in drugič, nekega dne ti popravki ne bodo več prihajali.”
Naprave IoT bi morale biti opremljene z "enako stopnjo varnosti končne točke, kot pričakujemo, da jo imajo druga sredstva, naši namizni računalniki, prenosni računalniki, strežniki itd.," pravi. "Če je vaš srčni monitor manj varen kot igralni prenosnik, je šlo nekaj hudo narobe - in je."
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoAiStream. Podatkovna inteligenca Web3. Razširjeno znanje. Dostopite tukaj.
- Kovanje prihodnosti z Adryenn Ashley. Dostopite tukaj.
- Kupujte in prodajajte delnice podjetij pred IPO s PREIPO®. Dostopite tukaj.
- vir: https://www.darkreading.com/ics-ot/belkins-wemo-smart-plug-opens-networks-cyberattacks
- :ima
- : je
- :ne
- 000
- 17
- 30
- 7
- a
- sposobnost
- O meni
- dostop
- Po
- Račun
- Dodatne
- Naslov
- Dodaja
- Alexa
- podobno
- omogočajo
- omogoča
- sam
- že
- Prav tako
- vedno
- Amazon
- an
- Analiza
- in
- kaj
- karkoli
- aplikacija
- Apple
- SE
- okoli
- AS
- sredstvo
- Sredstva
- Pomočnik
- At
- napad
- Napadi
- Slab
- V bistvu
- BE
- zadaj
- počutje
- Pasovi
- širši
- varovalni
- prelivanje medpomnilnika
- Bug
- podjetja
- by
- klic
- prišel
- CAN
- ne more
- nekatere
- spreminjanje
- znaki
- Cloud
- oblačna infrastruktura
- Koda
- prihajajo
- komunicirajo
- zapleten
- Connect
- povezane
- povezuje
- konzervativni
- Potrošniki
- se nadaljuje
- nadzor
- udobje
- poškodovan
- bi
- ustvarjajo
- kritično
- kibernetski napadi
- Temnomodra
- Temno branje
- dan
- odločil
- globlje
- privzeto
- razporejeni
- imenovani
- podrobno
- naprava
- naprave
- težko
- neposredno
- odkril
- Odkritje
- do
- lahka
- bodisi
- Elektronika
- Končna točka
- Varnost končne točke
- zagotovitev
- opremljena
- zlasti
- v bistvu
- oceniti
- itd
- Primer
- obstoječih
- obstaja
- pričakovati
- Pojasni
- Izkoristite
- izkoriščanje
- izpostavljena
- Dejstvo
- Fallen
- ventilatorji
- daleč
- Lastnosti
- Ugotovitve
- fiksna
- napaka
- Pretok
- po
- za
- prihajajoči
- je pokazala,
- iz
- igre na srečo
- dobili
- dobro
- veliko
- imel
- Ročaji
- se zgodi
- Imajo
- he
- Srce
- Domov
- Kako
- HTTPS
- Stotine
- i
- if
- takoj
- izvajati
- izvajali
- in
- vključujejo
- Infrastruktura
- vhod
- Namestitev
- primer
- Integrira
- notranji
- Internet
- Internet stvari
- v
- Internet stvari
- isn
- IT
- Izdelkov
- sam
- samo
- Ključne
- lab
- laptop
- prenosniki
- vodi
- vsaj
- manj
- Stopnja
- kot
- Verjeten
- LIMIT
- Long
- več
- Poglej
- izgleda kot
- nizka
- Znamka
- avtomat
- IZDELA
- upravljanje
- upravlja
- Proizvajalci
- več
- Trženje
- max širine
- Maj ..
- pomenilo
- Medtem
- Spomin
- metapodatki
- Mobilni
- mobilna aplikacija
- Model
- Moduli
- monitor
- več
- Najbolj
- premikanje
- Ime
- poimenovanje
- Nimate
- mreža
- omrežij
- št
- opozoriti
- Opombe
- zdaj
- pridobi
- of
- off
- ponujanje
- on
- ONE
- samo
- odprite
- open source
- Odpre
- deluje
- operacije
- Možnost
- or
- Da
- organizacije
- Ostalo
- naši
- ven
- rezultatov
- zunaj
- Patch
- Obliži
- platon
- Platonova podatkovna inteligenca
- PlatoData
- igra
- Vtič
- Vtič
- vključiti
- Točka
- potencial
- praksa
- Predsednik
- Izdelki
- pravilno
- zaščita
- protokol
- Python
- vprašanja
- postavljeno
- ocena
- reading
- resnični svet
- Priporočila
- redni
- zanašajo
- daljinsko
- Remote Access
- Raziskave
- raziskovalci
- omejitev
- rezultat
- Mnenja
- Tveganje
- vloga
- s
- varna
- prodaja
- Enako
- pravi
- razporejanje
- zavarovanje
- varnost
- varnostna ranljivost
- občutljiva
- Strežniki
- Oblikujte
- pošiljajo
- Kratke Hlače
- shouldnt
- predstavitev
- Podoben
- saj
- pametna
- nekaj
- Nekaj
- posebej
- začel
- Korak
- Še vedno
- stop
- Zgodba
- Struktura
- Boriti se
- subnet
- kasneje
- Uspešno
- taka
- Površina
- presenečen
- Preklop
- Bodite
- Takeaways
- Tapped
- pove
- kot
- da
- O
- njihove
- Njih
- POTEM
- te
- jih
- stvari
- mislim
- ta
- tisti,
- tisoče
- 3
- skozi
- do
- danes
- tudi
- Skupaj za plačilo
- Obračalni
- zavoji
- dva
- na žalost
- Universal
- izklopljen
- Nadgradnja
- us
- Rabljeni
- uporabnik
- Uporabniki
- uporabo
- pripomoček
- potrjevanje
- Vrednote
- raznolikost
- prodajalci
- različica
- zelo
- preko
- Podpredsednica
- ranljivost
- je
- način..
- we
- Dobro
- so bili
- Kaj
- kdaj
- ki
- medtem
- WHO
- Wi-fi
- Wild
- bo
- z
- brez
- bi
- Napačen
- Vi
- Vaša rutina za
- zefirnet