Et populært smart intercom og videotelefon fra det kinesiske firma Akuvox, E11, er fyldt med mere end et dusin sårbarheder, inklusive en kritisk fejl, der tillader uautoriseret fjernudførelse af kode (RCE).
Disse kan give ondsindede aktører adgang til en organisations netværk, stjæle billeder eller video optaget af enheden, styre kameraet og mikrofonen eller endda låse eller låse døre op.
Sårbarhederne blev opdaget og fremhævet af sikkerhedsfirmaet Claroty's Team82, som blev opmærksomme på enhedens svagheder, da de flyttede ind på et kontor, hvor E11 allerede var installeret.
Medlemmer af Team82's nysgerrighed omkring enheden blev til en komplet undersøgelse, da de afslørede 13 sårbarheder, som de inddelte i tre kategorier baseret på den anvendte angrebsvektor.
De første to typer kan forekomme enten via RCE inden for det lokale netværk eller fjernaktivering af E11's kamera og mikrofon, hvilket gør det muligt for angriberen at indsamle og eksfiltrere multimedieoptagelser. Den tredje angrebsvektor retter sig mod adgang til en ekstern, usikker filoverførselsprotokol (FTP)-server, som gør det muligt for skuespilleren at downloade lagrede billeder og data.
En kritisk RCE-fejl i Akuvox 311
For så vidt angår fejl, der skiller sig mest ud, én kritisk trussel - CVE-2023-0354, med en CVSS-score på 9.1 — gør det muligt at få adgang til E11-webserveren uden nogen brugergodkendelse, hvilket potentielt giver en angriber nem adgang til følsomme oplysninger.
"Akuvox E11-webserveren kan tilgås uden nogen brugergodkendelse, og dette kan give en hacker adgang til følsomme oplysninger samt oprette og downloade pakkefangster med kendte standard-URL'er," ifølge Cybersecurity and Infrastructure Security Agency (CISA) , som udgav en meddelelse om fejlene, herunder en sårbarhedsoversigt.
En anden sårbarhed af note (CVE-2023-0348, med en CVSS-score på 7.5) vedrører SmartPlus-mobilappen, som iOS- og Android-brugere kan downloade for at interagere med E11.
Kerneproblemet ligger i appens implementering af open source Session Initiation Protocol (SIP) for at muliggøre kommunikation mellem to eller flere deltagere over IP-netværk. SIP-serveren verificerer ikke SmartPlus-brugernes tilladelse til at oprette forbindelse til en bestemt E11, hvilket betyder, at enhver person med appen installeret kan oprette forbindelse til enhver E11, der er forbundet til internettet - inklusive dem, der er placeret bag en firewall.
"Vi testede dette ved hjælp af samtaleanlægget i vores laboratorium og et andet ved indgangen til kontoret," ifølge Claroty-rapporten. "Hvert samtaleanlæg er forbundet med forskellige konti og forskellige parter. Vi var faktisk i stand til at aktivere kameraet og mikrofonen ved at foretage et SIP-opkald fra laboratoriets konto til samtaleanlægget ved døren."
Akuvox sikkerhedssårbarheder forbliver uoprettede
Team82 skitserede deres forsøg på at gøre Akuvox opmærksom på sårbarhederne, begyndende i januar 2022, men efter flere opsøgende forsøg blev Clarotys konto hos leverandøren blokeret. Team82 offentliggjorde efterfølgende en teknisk blog, der beskriver nul-dages sårbarhederne og involverede CERT Coordination Center (CERT/CC) og CISA.
Organisationer, der bruger E11, rådes til at afbryde forbindelsen til internettet, indtil sårbarhederne er rettet, eller på anden måde sikre, at kameraet ikke er i stand til at optage følsomme oplysninger.
Inden for det lokale netværk, "rådes organisationer til at segmentere og isolere Akuvox-enheden fra resten af virksomhedens netværk," ifølge Claroty-rapporten. "Ikke kun skal enheden ligge på sit eget netværkssegment, men kommunikation til dette segment bør begrænses til en minimal liste af slutpunkter."
Der er mange fejl i kameraer og IoT-enheder
En verden af stadigt mere forbundne enheder har skabt en stor angrebsflade for sofistikerede modstandere.
Antallet af industrielle internet-of-ting-forbindelser (IoT) alene - et mål for antallet af samlede IoT-enheder udrullet - forventes at blive mere end fordoblet til 36.8 milliarder i 2025, op fra 17.7 milliarder i 2020, ifølge Juniper Research.
Og mens National Institute of Standards and Technology (NIST) har lagt sig fast på en standard for kryptering af IoT-kommunikation, forbliver mange enheder sårbare og ikke-patchede.
Akuvox er den seneste i en lang række af disse, der har vist sig at mangle alvorligt, når det kommer til enhedssikkerhed. For eksempel var en kritisk RCE-sårbarhed i Hikvision IP-videokameraer afsløret sidste år.
Og i november sidste år tillod en sårbarhed i en række populære digitale dørindgangssystemer tilbudt af Aiphone hackere at bryde adgangssystemerne — simpelthen ved at bruge en mobilenhed og et NFC-mærke (nærfeltkommunikation).
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://www.darkreading.com/cloud/unpatched-zero-day-bugs-smart-intercom-remote-eavesdropping
- :er
- $OP
- 1
- 2020
- 2022
- 7
- 8
- 9
- a
- I stand
- Om
- adgang
- af udleverede
- Ifølge
- Konto
- Konti
- Aktivering
- aktører
- rådgivende
- Efter
- agentur
- tillade
- tillader
- alene
- allerede
- ,
- og infrastruktur
- android
- En anden
- app
- ER
- OMRÅDE
- AS
- forbundet
- At
- angribe
- Forsøg på
- opmærksomhed
- Godkendelse
- tilladelse
- baseret
- BE
- Begyndelse
- bag
- mellem
- Billion
- blokeret
- Blog
- bringe
- Bug
- bugs
- by
- ringe
- værelse
- kameraer
- CAN
- stand
- fanger
- kategorier
- center
- kinesisk
- CISA
- kode
- indsamler
- Kommunikation
- selskab
- Bekymringer
- Tilslut
- tilsluttet
- tilsluttede enheder
- Tilslutninger
- kontrol
- koordinering
- Core
- kunne
- skabe
- oprettet
- kritisk
- nysgerrighed
- Cybersecurity
- Agentur for cybersikkerhed og infrastruktur
- data
- Standard
- indsat
- Detailing
- enhed
- Enheder
- forskellige
- digital
- opdaget
- Divided
- Ved
- døre
- fordoble
- downloade
- dusin
- hver
- enten
- muliggøre
- sikre
- Enterprise
- indgang
- indrejse
- Ether (ETH)
- Endog
- udførelse
- forventet
- ekstern
- File (Felt)
- firewall
- Firm
- Fornavn
- fast
- Til
- fundet
- fra
- Give
- hackere
- Fremhævet
- http
- HTTPS
- billeder
- implementering
- in
- Herunder
- stigende
- individuel
- industrielle
- oplysninger
- Infrastruktur
- instans
- Institut
- interagere
- Internet
- tingenes internet
- undersøgelse
- involverede
- iOS
- tingenes internet
- iot-enheder
- IP
- spørgsmål
- IT
- ITS
- januar
- kendt
- lab
- Efternavn
- seneste
- Limited
- Line (linje)
- Liste
- lokale
- placeret
- Lang
- Making
- mange
- betyder
- måle
- mikrofon
- mindste
- Mobil
- Mobil app
- mobil enhed
- mere
- mest
- multimedie
- national
- netværk
- net
- NFC
- NIST
- november
- nummer
- of
- tilbydes
- Office
- on
- ONE
- åbent
- open source
- organisation
- organisationer
- Ellers
- skitseret
- opsøgende
- egen
- deltagere
- særlig
- parter
- plato
- Platon Data Intelligence
- PlatoData
- Populær
- potentielt
- protokol
- offentliggjort
- optagelse
- forblive
- fjern
- indberette
- REST
- s
- sikkerhed
- segment
- følsom
- Series
- Session
- Slog sig ned
- flere
- bør
- ganske enkelt
- Smart
- sofistikeret
- Kilde
- stå
- standard
- standarder
- opbevaret
- Efterfølgende
- Systemer
- TAG
- mål
- Teknisk
- Teknologier
- at
- deres
- Disse
- ting
- Tredje
- trussel
- tre
- Gennem
- til
- I alt
- overførsel
- Drejede
- typer
- låse
- Bruger
- brugere
- Ved hjælp af
- sælger
- verificere
- video
- Sårbarheder
- sårbarhed
- Sårbar
- web
- Webserver
- GODT
- som
- mens
- med
- inden for
- uden
- world
- zephyrnet
- nul-dages sårbarheder