Wemo Mini Smart Plug V2، جو صارفین کو موبائل ایپ کے ذریعے اس میں لگائی گئی کسی بھی چیز کو دور سے کنٹرول کرنے کی اجازت دیتا ہے، اس میں ایک حفاظتی خطرہ ہے جو سائبر حملہ آوروں کو مختلف قسم کے برے نتائج پر سوئچ پھینکنے کی اجازت دیتا ہے۔ ان میں الیکٹرانکس کو دور سے آن اور آف کرنا، اور اندرونی نیٹ ورک میں گہرائی میں جانے کی صلاحیت، یا اضافی آلات پر ہاپ اسکاچنگ شامل ہیں۔
صارفین اور کاروبار یکساں طور پر استعمال کیا جاتا ہے، اسمارٹ پلگ موجودہ آؤٹ لیٹ میں لگ جاتا ہے، اور یونیورسل پلگ-این-پلے (UPNP) پورٹس کا استعمال کرتے ہوئے اندرونی وائی فائی نیٹ ورک اور وسیع تر انٹرنیٹ سے جڑتا ہے۔ اس کے بعد صارف موبائل ایپ کے ذریعے ڈیوائس کو کنٹرول کر سکتے ہیں، بنیادی طور پر پرانے اسکول کے لیمپ، پنکھے اور دیگر یوٹیلیٹی آئٹمز کو "سمارٹ" بنانے کا طریقہ پیش کرتے ہیں۔ ایپ الیکسا، گوگل اسسٹنٹ، اور ایپل ہوم کٹ کے ساتھ مربوط ہے، جبکہ سہولت کے لیے شیڈولنگ جیسی اضافی خصوصیات پیش کرتی ہے۔
خامی (CVE-2023-27217) ایک ہے۔ بفر اوور فلو کمزوری یہ آلہ کے ماڈل F7C063 کو متاثر کرتا ہے اور ریموٹ کمانڈ انجیکشن کی اجازت دیتا ہے، Sternum کے محققین کے مطابق جنہوں نے اسے دریافت کیا۔ بدقسمتی سے، جب انہوں نے ڈیوائس بنانے والی کمپنی بیلکن کو ٹھیک کرنے کے لیے ٹیپ کیا، تو انہیں بتایا گیا کہ کوئی فرم ویئر اپ ڈیٹ نہیں ہو گا کیونکہ ڈیوائس کی زندگی کا خاتمہ ہے۔
"دریں اثنا، یہ سمجھنا محفوظ ہے کہ ان میں سے بہت سے آلات اب بھی جنگل میں تعینات ہیں،" وہ ایک تجزیہ میں وضاحت کی on May 16, citing the 17,000 reviews and the four-star rating the Smart Plug has on Amazon. “The total sales on Amazon alone should be in the hundreds of thousands.”
Igal Zeifman، Sternum کے مارکیٹنگ کے نائب صدر، ڈارک ریڈنگ کو بتاتے ہیں کہ حملے کی سطح کے لیے یہ ایک کم تخمینہ ہے۔ "یہ ہم بہت قدامت پسند ہیں،" وہ نوٹ کرتے ہیں۔ "جب تحقیق شروع ہوئی تو ہماری لیب میں ہمارے تین اکیلے تھے۔ وہ اب ان پلگ ہو گئے ہیں۔"
وہ مزید کہتے ہیں، "اگر کاروبار اپنے نیٹ ورک کے اندر ویمو پلگ ان کے اس ورژن کو استعمال کر رہے ہیں، تو انہیں روکنا چاہیے یا (کم از کم) اس بات کو یقینی بنانا چاہیے کہ یونیورسل پلگ-این-پلے (UPNP) بندرگاہیں دور دراز تک رسائی کے لیے بے نقاب نہ ہوں۔ اگر وہ آلہ ایک اہم کردار ادا کرتا ہے یا کسی اہم نیٹ ورک یا اثاثہ سے منسلک ہے، تو آپ اچھی حالت میں نہیں ہیں۔"
CVE-2023-27217: نام میں کیا ہے؟
بگ اس طریقے سے موجود ہے جس طرح فرم ویئر اسمارٹ پلگ کے نام کو ہینڈل کرتا ہے۔ جب کہ "Wemo mini 6E9" ڈیوائس کا ڈیفالٹ نام آؤٹ آف دی باکس ہے، صارفین اس کا نام تبدیل کر سکتے ہیں جیسا کہ وہ فرم ویئر میں "FriendlyName" متغیر کے طور پر نامزد کیا گیا ہے - مثال کے طور پر اسے "کچن آؤٹ لیٹ" میں تبدیل کرنا یا اس سے ملتا جلتا۔
اسٹرنم کے محققین نے نوٹ کیا کہ "صارف کے ان پٹ کے لیے یہ آپشن پہلے سے ہی ہمارے اسپائیڈی کے حواس کو جھنجھوڑ رہا تھا، خاص طور پر جب ہم نے دیکھا کہ ایپ میں نام تبدیل کرنا کچھ گارڈریلز کے ساتھ آتا ہے، [خاص طور پر 30 حروف کی حد]،" Sternum محققین نے نوٹ کیا۔ "ہمارے لئے، اس نے فوری طور پر دو سوالات اٹھائے: 'کون کہتا ہے؟' اور 'کیا ہوتا ہے اگر ہم اسے 30 سے زیادہ حروف بنانے میں کامیاب ہوجائیں؟'
جب موبائل ایپ نے انہیں 30 حروف سے زیادہ لمبا نام بنانے کی اجازت نہیں دی، تو انہوں نے pyWeMo کے ذریعے ڈیوائس سے براہ راست جڑنے کا فیصلہ کیا، WeMo ڈیوائسز کی دریافت اور کنٹرول کے لیے ایک اوپن سورس Python ماڈیول۔ انہوں نے پایا کہ ایپ کو روکنے سے انہیں گارڈریل کے ارد گرد جانے کی اجازت دی گئی، تاکہ کامیابی سے ایک طویل نام درج کیا جا سکے۔
"پابندی صرف ایپ کے ذریعہ نافذ کی گئی تھی نہ کہ فرم ویئر کوڈ کے ذریعہ ،" انہوں نے نوٹ کیا۔ "اس طرح کی ان پٹ کی توثیق کو صرف 'سطح' کی سطح پر منظم نہیں کیا جانا چاہئے۔"
اس بات کا مشاہدہ کرتے ہوئے کہ کس طرح اوور اسٹفڈ 'FriendlyName' متغیر کو میموری کی ساخت کے ذریعے ہینڈل کیا گیا، محققین نے دیکھا کہ ہیپ کا میٹا ڈیٹا 80 حروف سے زیادہ طویل کسی بھی نام سے خراب ہو رہا ہے۔ وہ خراب شدہ اقدار اس کے بعد کے ہیپ آپریشنز میں استعمال ہو رہی تھیں، اس طرح مختصر کریشز کا باعث بنے۔ تجزیہ کے مطابق، اس کے نتیجے میں بفر اوور فلو اور نتیجے میں میموری کو دوبارہ مختص کرنے کو کنٹرول کرنے کی صلاحیت پیدا ہوئی۔
Zeifman کا کہنا ہے کہ "کسی بھی آن ڈیوائس سیکیورٹی کے بغیر منسلک آلات کے استعمال کے خطرے کے بارے میں یہ ایک اچھی ویک اپ کال ہے، جو آج کل آلات کا 99.9% ہے۔"
آسان استحصال پر نگاہ رکھیں
اگرچہ اسٹرنم تصور کے استحصال کا ثبوت جاری نہیں کر رہا ہے یا یہ شمار نہیں کر رہا ہے کہ عملی طور پر حقیقی دنیا کے حملے کا بہاؤ کیسا نظر آئے گا، زیف مین کا کہنا ہے کہ کمزوری کا استحصال کرنا مشکل نہیں ہے۔ اگر آلہ انٹرنیٹ کے لیے کھلا ہے تو حملہ آور کو نیٹ ورک تک رسائی، یا ریموٹ یونیورسل پلگ-این-پلے رسائی کی ضرورت ہوگی۔
"اس کے علاوہ، یہ ایک قابل عمل ڈھیر والے ڈیوائس پر ایک معمولی بفر اوور فلو ہے،" وہ بتاتے ہیں۔ "سخت گڑھ گر گئے ہیں۔"
اس نے نوٹ کیا کہ امکان ہے کہ حملے ویمو کے کلاؤڈ انفراسٹرکچر آپشن کے ذریعے بھی کیے جا سکتے ہیں۔
Zeifman کا کہنا ہے کہ "Wemo پروڈکٹس کلاؤڈ پروٹوکول (بنیادی طور پر ایک STUN ٹنل) کو بھی نافذ کرتی ہیں جس کا مقصد نیٹ ورک ایڈریس ٹراورسل (NAT) کو روکنا تھا اور موبائل ایپ کو انٹرنیٹ کے ذریعے آؤٹ لیٹ کو چلانے کی اجازت دینا تھا،" Zeifman کہتے ہیں۔ "اگرچہ ہم نے ویمو کے کلاؤڈ پروٹوکول کو زیادہ گہرائی سے نہیں دیکھا، ہمیں حیرت نہیں ہوگی کہ اگر اس حملے کو بھی اسی طرح نافذ کیا جا سکتا ہے۔"
پیچ کی غیر موجودگی میں، ڈیوائس استعمال کرنے والوں کے پاس کچھ تخفیف ہوتی ہے جو وہ لے سکتے ہیں۔ مثال کے طور پر، جب تک اسمارٹ پلگ انٹرنیٹ کے سامنے نہیں آتا، حملہ آور کو اسی نیٹ ورک تک رسائی حاصل کرنی ہوگی، جو استحصال کو مزید پیچیدہ بناتا ہے۔
اسٹرنم نے درج ذیل عام فہم سفارشات کی تفصیل دی:
- ویمو اسمارٹ پلگ V2 UPNP پورٹس کو انٹرنیٹ پر ظاہر کرنے سے گریز کریں، یا تو براہ راست یا پورٹ فارورڈنگ کے ذریعے۔
- اگر آپ ایک حساس نیٹ ورک میں Smart Plug V2 استعمال کر رہے ہیں، تو آپ کو یہ یقینی بنانا چاہیے کہ یہ مناسب طریقے سے تقسیم کیا گیا ہے، اور وہ آلہ اسی سب نیٹ پر موجود دیگر حساس آلات کے ساتھ بات چیت نہیں کر سکتا۔
IoT سیکیورٹی میں وقفہ جاری ہے۔
جہاں تک تحقیق سے وسیع تر پہلوؤں کا تعلق ہے، نتائج اس حقیقت کو ظاہر کرتے ہیں کہ انٹرنیٹ آف تھنگز (IoT) وینڈرز اب بھی ڈیزائن کے لحاظ سے سیکیورٹی کے ساتھ جدوجہد کر رہے ہیں۔ - کسی بھی سمارٹ ڈیوائس کو انسٹال کرتے وقت کن تنظیموں کو مدنظر رکھنا چاہیے۔
“I think this is the key point of this story: This is what happens when devices are shipped without any on-device protection,” Zeifman notes. “If you only rely on ذمہ دار سیکورٹی پیچنگجیسا کہ آج کل زیادہ تر ڈیوائس مینوفیکچررز کرتے ہیں، دو چیزیں یقینی ہیں۔ ایک، آپ ہمیشہ حملہ آور سے ایک قدم پیچھے رہیں گے۔ اور دو، ایک دن یہ پیچ آنا بند ہو جائیں گے۔"
وہ کہتے ہیں کہ IoT آلات کو "اسی سطح کے اختتامی نقطہ سیکورٹی سے لیس ہونا چاہئے جس کی ہم دوسرے اثاثوں کی توقع کرتے ہیں، ہمارے ڈیسک ٹاپس، لیپ ٹاپس، سرورز وغیرہ،" وہ کہتے ہیں۔ "اگر آپ کا ہارٹ مانیٹر گیمنگ لیپ ٹاپ سے کم محفوظ ہے، تو کچھ بہت زیادہ غلط ہو گیا ہے - اور یہ ہو گیا ہے۔"
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹوآئ اسٹریم۔ ویب 3 ڈیٹا انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ایڈریین ایشلے کے ساتھ مستقبل کا نقشہ بنانا۔ یہاں تک رسائی حاصل کریں۔
- PREIPO® کے ساتھ PRE-IPO کمپنیوں میں حصص خریدیں اور بیچیں۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/ics-ot/belkins-wemo-smart-plug-opens-networks-cyberattacks
- : ہے
- : ہے
- : نہیں
- 000
- 17
- 30
- 7
- a
- کی صلاحیت
- ہمارے بارے میں
- تک رسائی حاصل
- کے مطابق
- اکاؤنٹ
- ایڈیشنل
- پتہ
- جوڑتا ہے
- Alexaکی بنیاد پر IQ Option ، بائنومو سے اوپری پوزیشن پر ہے۔
- اسی طرح
- کی اجازت
- کی اجازت دیتا ہے
- اکیلے
- پہلے ہی
- بھی
- ہمیشہ
- ایمیزون
- an
- تجزیہ
- اور
- کوئی بھی
- کچھ
- اپلی کیشن
- ایپل
- کیا
- ارد گرد
- AS
- اثاثے
- اثاثے
- اسسٹنٹ
- At
- حملہ
- حملے
- برا
- بنیادی طور پر
- BE
- پیچھے
- کیا جا رہا ہے
- باکس
- وسیع
- بفر
- بفر اوور فلو
- بگ کی اطلاع دیں
- کاروبار
- by
- فون
- آیا
- کر سکتے ہیں
- نہیں کر سکتے ہیں
- کچھ
- تبدیل کرنے
- حروف
- بادل
- کلاؤڈ بنیادی ڈھانچے
- کوڈ
- آنے والے
- ابلاغ
- پیچیدہ
- رابطہ قائم کریں
- منسلک
- جڑتا
- قدامت پرستی
- صارفین
- جاری ہے
- کنٹرول
- سہولت
- خراب
- سکتا ہے
- تخلیق
- اہم
- سائبرٹیکس
- گہرا
- گہرا پڑھنا
- دن
- فیصلہ کیا
- گہرے
- پہلے سے طے شدہ
- تعینات
- نامزد
- تفصیلی
- آلہ
- کے الات
- مشکل
- براہ راست
- دریافت
- دریافت
- do
- آسان
- یا تو
- الیکٹرونکس
- اختتام پوائنٹ
- اختتام پوائنٹ سیکورٹی
- کو یقینی بنانے کے
- لیس
- خاص طور پر
- بنیادی طور پر
- تخمینہ
- وغیرہ
- مثال کے طور پر
- موجودہ
- موجود ہے
- توقع ہے
- بیان کرتا ہے
- دھماکہ
- استحصال
- ظاہر
- حقیقت یہ ہے
- گر
- کے پرستار
- دور
- خصوصیات
- نتائج
- درست کریں
- غلطی
- بہاؤ
- کے بعد
- کے لئے
- آئندہ
- ملا
- سے
- گیمنگ
- حاصل
- اچھا
- گوگل
- عظیم
- تھا
- ہینڈل
- ہوتا ہے
- ہے
- he
- ہارٹ
- ہوم پیج (-)
- کس طرح
- HTTPS
- سینکڑوں
- i
- if
- فوری طور پر
- پر عملدرآمد
- عملدرآمد
- in
- شامل
- انفراسٹرکچر
- ان پٹ
- انسٹال کرنا
- مثال کے طور پر
- انٹیگریٹٹس
- اندرونی
- انٹرنیٹ
- چیزوں کے انٹرنیٹ
- میں
- IOT
- نہیں
- IT
- اشیاء
- خود
- صرف
- کلیدی
- لیب
- لیپ ٹاپ
- لیپ ٹاپ
- معروف
- کم سے کم
- کم
- سطح
- کی طرح
- امکان
- LIMIT
- لانگ
- اب
- دیکھو
- کی طرح دیکھو
- لو
- بنا
- میکر
- بناتا ہے
- انتظام
- میں کامیاب
- مینوفیکچررز
- بہت سے
- مارکیٹنگ
- زیادہ سے زیادہ چوڑائی
- مئی..
- مراد
- دریں اثناء
- یاد داشت
- میٹا ڈیٹا
- موبائل
- موبائل اپلی کیشن
- ماڈل
- ماڈیول
- کی نگرانی
- زیادہ
- سب سے زیادہ
- منتقل
- نام
- نام
- ضرورت ہے
- نیٹ ورک
- نیٹ ورک
- نہیں
- کا کہنا
- نوٹس
- اب
- حاصل
- of
- بند
- کی پیشکش
- on
- ایک
- صرف
- کھول
- اوپن سورس
- کھولتا ہے
- کام
- آپریشنز
- اختیار
- or
- حکم
- تنظیمیں
- دیگر
- ہمارے
- باہر
- نتائج
- باہر
- پیچ
- پیچ
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- ادا کرتا ہے
- پلگ
- پلگ لگا ہوا
- رابطہ بحال کرو
- پوائنٹ
- ممکنہ
- پریکٹس
- صدر
- حاصل
- مناسب طریقے سے
- تحفظ
- پروٹوکول
- ازگر
- سوالات
- اٹھایا
- درجہ بندی
- پڑھنا
- حقیقی دنیا
- سفارشات
- باقاعدہ
- انحصار کرو
- ریموٹ
- دور دراز تک رسائی
- تحقیق
- محققین
- پابندی
- نتیجے
- جائزہ
- رسک
- کردار
- s
- محفوظ
- فروخت
- اسی
- کا کہنا ہے کہ
- شیڈولنگ
- محفوظ بنانے
- سیکورٹی
- سیکیورٹی کا خطرہ
- حساس
- سرورز
- شکل
- بھیج دیا
- مختصر
- ہونا چاہئے
- نمائش
- اسی طرح
- بعد
- ہوشیار
- کچھ
- کچھ
- خاص طور پر
- شروع
- مرحلہ
- ابھی تک
- بند کرو
- کہانی
- ساخت
- جدوجہد
- سب نیٹ
- بعد میں
- کامیابی کے ساتھ
- اس طرح
- سطح
- حیران کن
- سوئچ کریں
- لے لو
- Takeaways
- ٹیپ
- بتاتا ہے
- سے
- کہ
- ۔
- ان
- ان
- تو
- یہ
- وہ
- چیزیں
- لگتا ہے کہ
- اس
- ان
- ہزاروں
- تین
- کے ذریعے
- کرنے کے لئے
- آج
- بھی
- کل
- ٹرننگ
- دیتا ہے
- دو
- بدقسمتی سے
- یونیورسل
- پلگ
- اپ ڈیٹ کریں
- us
- استعمال کیا جاتا ہے
- رکن کا
- صارفین
- کا استعمال کرتے ہوئے
- کی افادیت
- توثیق
- اقدار
- مختلف اقسام کے
- دکانداروں
- ورژن
- بہت
- کی طرف سے
- نائب صدر
- خطرے کا سامنا
- تھا
- راستہ..
- we
- اچھا ہے
- تھے
- کیا
- جب
- جس
- جبکہ
- ڈبلیو
- وائی فائی
- وائلڈ
- گے
- ساتھ
- بغیر
- گا
- غلط
- تم
- اور
- زیفیرنیٹ