چینی کمپنی Akuvox کا ایک مقبول سمارٹ انٹرکام اور ویڈیو فون، E11، ایک درجن سے زیادہ خطرات سے بھرا ہوا ہے، بشمول ایک اہم بگ جو غیر تصدیق شدہ ریموٹ کوڈ پر عمل درآمد (RCE) کی اجازت دیتا ہے۔
یہ بدنیتی پر مبنی اداکاروں کو کسی تنظیم کے نیٹ ورک تک رسائی، ڈیوائس کے ذریعے کیپچر کی گئی تصاویر یا ویڈیو چوری کرنے، کیمرہ اور مائیکروفون کو کنٹرول کرنے، یا دروازے کو مقفل یا غیر مقفل کرنے کی اجازت دے سکتے ہیں۔
حفاظتی فرم Claroty's Team82 نے ان خطرات کو دریافت کیا اور ان پر روشنی ڈالی، جو آلہ کی کمزوریوں سے اس وقت آگاہ ہوئی جب وہ ایک ایسے دفتر میں چلے گئے جہاں E11 پہلے سے نصب تھا۔
اس ڈیوائس کے بارے میں ٹیم 82 کے اراکین کا تجسس ایک مکمل تحقیقات میں بدل گیا کیونکہ انہوں نے 13 کمزوریوں کا پردہ فاش کیا، جنہیں انہوں نے استعمال کیے گئے حملہ آور ویکٹر کی بنیاد پر تین اقسام میں تقسیم کیا۔
پہلی دو قسمیں یا تو لوکل ایریا نیٹ ورک کے اندر RCE کے ذریعے یا E11 کے کیمرہ اور مائیکروفون کی ریموٹ ایکٹیویشن کے ذریعے ہو سکتی ہیں، جس سے حملہ آور ملٹی میڈیا ریکارڈنگ کو اکٹھا کرنے اور اس سے باہر نکلنے کی اجازت دیتا ہے۔ تیسرا حملہ ویکٹر ایک بیرونی، غیر محفوظ فائل ٹرانسفر پروٹوکول (FTP) سرور تک رسائی کو نشانہ بناتا ہے، جس سے اداکار کو ذخیرہ شدہ تصاویر اور ڈیٹا ڈاؤن لوڈ کرنے کی اجازت ملتی ہے۔
Akuvox 311 میں ایک اہم RCE بگ
جہاں تک کیڑے سب سے نمایاں ہیں، ایک اہم خطرہ — CVE-2023-03549.1 کے CVSS سکور کے ساتھ — E11 ویب سرور کو بغیر کسی صارف کی تصدیق کے رسائی کی اجازت دیتا ہے، ممکنہ طور پر حملہ آور کو حساس معلومات تک آسان رسائی فراہم کرتا ہے۔
سائبرسیکیوریٹی اینڈ انفراسٹرکچر سیکیورٹی ایجنسی (CISA) کے مطابق، "Akuvox E11 ویب سرور تک بغیر کسی صارف کی تصدیق کے رسائی حاصل کی جاسکتی ہے، اور یہ حملہ آور کو حساس معلومات تک رسائی کے ساتھ ساتھ معلوم طے شدہ URLs کے ساتھ پیکٹ کیپچر بنانے اور ڈاؤن لوڈ کرنے کی اجازت دے سکتا ہے۔" جس نے کیڑے کے بارے میں ایک ایڈوائزری شائع کی، بشمول a خطرے کا جائزہ.
نوٹ کی ایک اور کمزوری (CVE-2023-03487.5 کے CVSS سکور کے ساتھ) اسمارٹ پلس موبائل ایپ سے متعلق ہے جسے iOS اور Android صارفین E11 کے ساتھ بات چیت کرنے کے لیے ڈاؤن لوڈ کر سکتے ہیں۔
بنیادی مسئلہ ایپ کے اوپن سورس سیشن انیشیشن پروٹوکول (SIP) کے نفاذ میں ہے تاکہ IP نیٹ ورکس پر دو یا زیادہ شرکاء کے درمیان مواصلت کو ممکن بنایا جا سکے۔ SIP سرور SmartPlus کے صارفین کے کسی مخصوص E11 سے جڑنے کی اجازت کی تصدیق نہیں کرتا، یعنی ایپ انسٹال کرنے والا کوئی بھی فرد ویب سے منسلک کسی بھی E11 سے رابطہ کر سکتا ہے — بشمول وہ لوگ جو فائر وال کے پیچھے ہیں۔
"ہم نے اپنی لیب میں انٹرکام کا استعمال کرتے ہوئے اور دفتر کے داخلی دروازے پر ایک اور کا استعمال کرتے ہوئے اس کا تجربہ کیا،" Claroty رپورٹ کے مطابق۔ "ہر انٹرکام مختلف اکاؤنٹس اور مختلف پارٹیوں سے وابستہ ہے۔ ہم درحقیقت لیب کے اکاؤنٹ سے دروازے پر موجود انٹرکام پر ایس آئی پی کال کرکے کیمرہ اور مائیکروفون کو چالو کرنے کے قابل تھے۔
Akuvox سیکیورٹی کی کمزوریاں بغیر کسی نشان کے ہیں۔
Team82 نے جنوری 2022 سے شروع ہونے والی کمزوریوں کو Akuvox کی توجہ دلانے کے لیے اپنی کوششوں کا خاکہ پیش کیا، لیکن رسائی کی کئی کوششوں کے بعد، وینڈر کے ساتھ Claroty کا اکاؤنٹ بلاک کر دیا گیا۔ ٹیم 82 نے بعد میں ایک تکنیکی بلاگ شائع کیا جس میں صفر دن کے خطرات کی تفصیل دی گئی تھی اور اس میں CERT کوآرڈینیشن سینٹر (CERT/CC) اور CISA شامل تھے۔
E11 استعمال کرنے والی تنظیموں کو مشورہ دیا جاتا ہے کہ وہ اسے انٹرنیٹ سے منقطع کر دیں جب تک کہ کمزوریاں ٹھیک نہ ہو جائیں، یا بصورت دیگر یہ یقینی بنائیں کہ کیمرہ حساس معلومات کو ریکارڈ کرنے کے قابل نہیں ہے۔
Claroty رپورٹ کے مطابق، مقامی ایریا نیٹ ورک کے اندر، "تنظیموں کو مشورہ دیا جاتا ہے کہ وہ Akuvox ڈیوائس کو باقی انٹرپرائز نیٹ ورک سے الگ کر دیں۔" "نہ صرف ڈیوائس کو اپنے نیٹ ورک کے حصے پر رہنا چاہئے، بلکہ اس طبقہ سے مواصلات کو اختتامی پوائنٹس کی کم سے کم فہرست تک محدود ہونا چاہئے۔"
کیمروں اور IoT آلات میں کیڑے بہت زیادہ ہیں۔
تیزی سے جڑے ہوئے آلات کی دنیا نے ایک تخلیق کی ہے۔ وسیع حملے کی سطح جدید ترین مخالفین کے لیے۔
صرف صنعتی انٹرنیٹ آف تھنگز (IoT) کنکشنز کی تعداد - جو کہ کل IoT آلات کی تعداد کا ایک پیمانہ ہے - 36.8 میں دوگنا سے زیادہ 2025 بلین ہونے کی توقع ہے، جو کہ 17.7 میں 2020 بلین تھی، جونیپر ریسرچ کے مطابق.
اور جب کہ نیشنل انسٹی ٹیوٹ آف اسٹینڈرڈز اینڈ ٹیکنالوجی (NIST) کے لیے ایک معیار طے پا گیا ہے۔ آئی او ٹی مواصلات کو خفیہ کرنا, بہت سے آلات کمزور اور بغیر پیچ کے رہتے ہیں۔
Akuvox ان کی ایک لمبی لائن میں تازہ ترین ہے جب آلہ کی حفاظت کی بات آتی ہے تو اس کی شدید کمی پائی جاتی ہے۔ مثال کے طور پر، Hikvision IP ویڈیو کیمروں میں RCE کا ایک اہم خطرہ تھا۔ گزشتہ سال انکشاف کیا.
اور پچھلے نومبر میں، Aiphone کی طرف سے پیش کردہ مقبول ڈیجیٹل ڈور انٹری سسٹم کی ایک سیریز میں ایک کمزوری نے ہیکرز کو اجازت دی داخلے کے نظام کی خلاف ورزی - صرف ایک موبائل ڈیوائس اور قریبی فیلڈ کمیونیکیشن (NFC) ٹیگ کا استعمال کرکے۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/cloud/unpatched-zero-day-bugs-smart-intercom-remote-eavesdropping
- : ہے
- $UP
- 1
- 2020
- 2022
- 7
- 8
- 9
- a
- قابلیت
- ہمارے بارے میں
- تک رسائی حاصل
- رسائی
- کے مطابق
- اکاؤنٹ
- اکاؤنٹس
- چالو کرنے کی
- اداکار
- مشاورتی
- کے بعد
- ایجنسی
- اجازت دے رہا ہے
- کی اجازت دیتا ہے
- اکیلے
- پہلے ہی
- اور
- اور بنیادی ڈھانچہ
- لوڈ، اتارنا Android
- ایک اور
- اپلی کیشن
- کیا
- رقبہ
- AS
- منسلک
- At
- حملہ
- کوششیں
- توجہ
- کی توثیق
- اجازت
- کی بنیاد پر
- BE
- شروع
- پیچھے
- کے درمیان
- ارب
- بلاک کردی
- بلاگ
- لانے
- بگ کی اطلاع دیں
- کیڑوں
- by
- فون
- کیمرہ
- کیمروں
- کر سکتے ہیں
- صلاحیت رکھتا
- قبضہ
- اقسام
- سینٹر
- چینی
- کوڈ
- جمع
- مواصلات
- کمپنی کے
- اندراج
- رابطہ قائم کریں
- منسلک
- کنکشن
- کنٹرول
- سمنوی
- کور
- سکتا ہے
- تخلیق
- بنائی
- اہم
- تجسس
- سائبر سیکیورٹی
- اعداد و شمار
- پہلے سے طے شدہ
- تعینات
- تفصیل
- آلہ
- کے الات
- مختلف
- ڈیجیٹل
- دریافت
- تقسیم
- دروازے
- دروازے
- دوگنا
- ڈاؤن لوڈ، اتارنا
- درجن سے
- ہر ایک
- یا تو
- کو چالو کرنے کے
- کو یقینی بنانے کے
- انٹرپرائز
- اندراج
- بھی
- پھانسی
- توقع
- بیرونی
- فائل
- فائروال
- فرم
- پہلا
- مقرر
- کے لئے
- ملا
- سے
- دے
- ہیکروں
- روشنی ڈالی گئی
- HTTP
- HTTPS
- تصاویر
- نفاذ
- in
- سمیت
- دن بدن
- انفرادی
- صنعتی
- معلومات
- انفراسٹرکچر
- نصب
- مثال کے طور پر
- انسٹی ٹیوٹ
- بات چیت
- انٹرنیٹ
- چیزوں کے انٹرنیٹ
- تحقیقات
- ملوث
- iOS
- IOT
- آئی ٹی آلات
- IP
- مسئلہ
- IT
- میں
- جنوری
- جانا جاتا ہے
- لیب
- آخری
- تازہ ترین
- جھوٹ ہے
- لمیٹڈ
- لائن
- لسٹ
- مقامی
- واقع ہے
- لانگ
- بنانا
- بہت سے
- مطلب
- پیمائش
- مائکروفون
- کم سے کم
- موبائل
- موبائل اپلی کیشن
- موبائل ڈیوائس
- زیادہ
- سب سے زیادہ
- آڈیو اور ملٹی میڈیا
- قومی
- نیٹ ورک
- نیٹ ورک
- این ایف سی
- نیسٹ
- نومبر
- تعداد
- of
- کی پیشکش کی
- دفتر
- on
- ایک
- کھول
- اوپن سورس
- تنظیم
- تنظیمیں
- دوسری صورت میں
- بیان کیا
- آؤٹ ریچ
- خود
- امیدوار
- خاص طور پر
- جماعتوں
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- مقبول
- ممکنہ طور پر
- پروٹوکول
- شائع
- ریکارڈنگ
- رہے
- ریموٹ
- رپورٹ
- باقی
- s
- سیکورٹی
- حصے
- حساس
- سیریز
- اجلاس
- آباد
- کئی
- ہونا چاہئے
- صرف
- ہوشیار
- بہتر
- ماخذ
- کھڑے ہیں
- معیار
- معیار
- ذخیرہ
- بعد میں
- سسٹمز
- TAG
- اہداف
- ٹیکنیکل
- ٹیکنالوجی
- کہ
- ۔
- ان
- یہ
- چیزیں
- تھرڈ
- خطرہ
- تین
- کے ذریعے
- کرنے کے لئے
- کل
- منتقل
- تبدیل کر دیا
- اقسام
- انلاک
- رکن کا
- صارفین
- استعمال کرنا۔
- وینڈر
- اس بات کی تصدیق
- ویڈیو
- نقصان دہ
- خطرے کا سامنا
- قابل اطلاق
- ویب
- ویب سرور
- اچھا ہے
- جس
- جبکہ
- ساتھ
- کے اندر
- بغیر
- دنیا
- زیفیرنیٹ
- صفر دن کی کمزوریاں