Un popular intercomunicador inteligente y videoteléfono de la compañía china Akuvox, el E11, está plagado de más de una docena de vulnerabilidades, incluido un error crítico que permite la ejecución remota de código (RCE) sin autenticar.
Estos podrían permitir que actores maliciosos accedan a la red de una organización, roben fotos o videos capturados por el dispositivo, controlen la cámara y el micrófono, o incluso bloqueen o desbloqueen puertas.
Las vulnerabilidades fueron descubiertas y destacadas por Team82 de la firma de seguridad Claroty, que se dio cuenta de las debilidades del dispositivo cuando se mudaron a una oficina donde ya se había instalado el E11.
La curiosidad de los miembros de Team82 sobre el dispositivo se convirtió en una investigación en toda regla, ya que descubrieron 13 vulnerabilidades, que dividieron en tres categorías según el vector de ataque utilizado.
Los dos primeros tipos pueden ocurrir a través de RCE dentro de la red de área local o la activación remota de la cámara y el micrófono del E11, lo que permite al atacante recopilar y filtrar grabaciones multimedia. El tercer vector de ataque tiene como objetivo el acceso a un servidor de protocolo de transferencia de archivos (FTP) externo e inseguro, lo que permite al actor descargar imágenes y datos almacenados.
Un error crítico de RCE en el Akuvox 311
En cuanto a los errores que más se destacan, una amenaza crítica: CVE-2023-0354, con una puntuación CVSS de 9.1, permite acceder al servidor web E11 sin ninguna autenticación de usuario, lo que podría facilitar el acceso de un atacante a información confidencial.
"Se puede acceder al servidor web Akuvox E11 sin ninguna autenticación de usuario, y esto podría permitir a un atacante acceder a información confidencial, así como crear y descargar capturas de paquetes con URL predeterminadas conocidas", según la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) , que publicó un aviso sobre los errores, incluido un descripción general de la vulnerabilidad.
Otra vulnerabilidad de la nota (CVE-2023-0348, con una puntuación CVSS de 7.5) se refiere a la aplicación móvil SmartPlus que los usuarios de iOS y Android pueden descargar para interactuar con el E11.
El problema central radica en la implementación por parte de la aplicación del Protocolo de inicio de sesión (SIP) de código abierto para permitir la comunicación entre dos o más participantes a través de redes IP. El servidor SIP no verifica la autorización de los usuarios de SmartPlus para conectarse a un E11 en particular, lo que significa que cualquier individuo con la aplicación instalada puede conectarse a cualquier E11 conectado a la Web, incluidos aquellos ubicados detrás de un firewall.
"Lo probamos utilizando el intercomunicador de nuestro laboratorio y otro en la entrada de la oficina", según el informe de Claroty. "Cada intercomunicador está asociado con diferentes cuentas y diferentes interlocutores. De hecho, pudimos activar la cámara y el micrófono haciendo una llamada SIP desde la cuenta del laboratorio al intercomunicador de la puerta".
Las vulnerabilidades de seguridad de Akuvox siguen sin parchear
Team82 describió sus intentos de llamar la atención de Akuvox sobre las vulnerabilidades, a partir de enero de 2022, pero después de varios intentos de divulgación, la cuenta de Claroty con el proveedor fue bloqueada. Posteriormente, Team82 publicó un blog técnico que detalla las vulnerabilidades de día cero e involucró al Centro de Coordinación CERT (CERT/CC) y CISA.
Se recomienda a las organizaciones que utilizan el E11 que lo desconecten de Internet hasta que se corrijan las vulnerabilidades o que se aseguren de que la cámara no sea capaz de grabar información confidencial.
Dentro de la red de área local, "se recomienda a las organizaciones segmentar y aislar el dispositivo Akuvox del resto de la red empresarial", según el informe de Claroty. "El dispositivo no sólo debe residir en su propio segmento de red, sino que la comunicación con este segmento debe limitarse a una lista mínima de puntos finales".
Abundan los errores en las cámaras y los dispositivos IoT
Un mundo de dispositivos cada vez más conectados ha creado una amplia superficie de ataque para adversarios sofisticados.
Se espera que la cantidad de conexiones industriales de Internet de las cosas (IoT), una medida de la cantidad total de dispositivos IoT implementados, se duplique con creces a 36.8 millones en 2025, frente a los 17.7 millones en 2020. según Juniper Research.
Y aunque el Instituto Nacional de Estándares y Tecnología (NIST) se ha decidido por un estándar para encriptación de comunicaciones IoT, muchos dispositivos siguen siendo vulnerables y sin parches.
Akuvox es el último de una larga lista de estos que presentan graves deficiencias en lo que respecta a la seguridad de los dispositivos. Por ejemplo, se detectó una vulnerabilidad RCE crítica en las cámaras de video IP de Hikvision. divulgado el año pasado.
Y el pasado mes de noviembre, una vulnerabilidad en una serie de populares porteros digitales ofrecidos por Aiphone permitió a los piratas informáticos romper los sistemas de entrada — simplemente utilizando un dispositivo móvil y una etiqueta de comunicación de campo cercano (NFC).
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/cloud/unpatched-zero-day-bugs-smart-intercom-remote-eavesdropping
- :es
- $ UP
- 1
- 2020
- 2022
- 7
- 8
- 9
- a
- Poder
- Sobre nosotros
- de la máquina
- visitada
- Conforme
- Mi Cuenta
- Cuentas
- Activación
- los actores
- asesor
- Después
- Permitir
- permite
- solo
- ya haya utilizado
- y
- e infraestructura
- android
- Otra
- applicación
- somos
- Reservada
- AS
- asociado
- At
- atacar
- Los intentos
- Autenticación
- autorización
- basado
- BE
- Comienzo
- detrás de
- entre
- mil millones
- bloqueado
- Blog
- llevar
- Error
- loco
- by
- llamar al
- cámara
- cámaras
- PUEDEN
- capaz
- capturas
- categoría
- Reubicación
- chino
- CISA
- código
- recoger
- Comunicación
- compañía
- Inquietudes
- Conectarse
- conectado
- dispositivos conectados
- Conexiones
- control
- coordinación
- Core
- podría
- Para crear
- creado
- crítico
- la curiosidad
- La Ciberseguridad
- Agencia de Seguridad Cibernética e Infraestructura
- datos
- Predeterminado
- desplegado
- detallando
- dispositivo
- Dispositivos
- una experiencia diferente
- digital
- descubierto CRISPR
- dividido
- Puerta
- puertas
- doble
- descargar
- docena
- cada una
- ya sea
- habilitar
- garantizar
- Empresa
- entrada
- entrada
- Éter (ETH)
- Incluso
- ejecución
- esperado
- externo
- Archive
- cortafuegos
- Firme
- Nombre
- fijas
- encontrado
- en
- Diezmos y Ofrendas
- los piratas informáticos
- Destacado
- http
- HTTPS
- imágenes
- implementación
- in
- Incluye
- cada vez más
- INSTRUMENTO individual
- industrial
- información
- EN LA MINA
- ejemplo
- Innovadora
- interactuar
- Internet
- Internet de las cosas
- investigación
- involucra
- iOS
- IOT
- dispositivos iot
- IP
- IT
- SUS
- Enero
- conocido
- el lab
- Apellido
- más reciente
- Limitada
- línea
- Lista
- local
- situados
- Largo
- Realizar
- muchos
- sentido
- medir
- micrófono
- mínimo
- Móvil
- Aplicación movil
- dispositivo móvil
- más,
- MEJOR DE TU
- Multimedia
- Nacional
- del sistema,
- telecomunicaciones
- NFC
- nist
- Noviembre
- número
- of
- Ofrecido
- Oficina
- on
- ONE
- habiertos
- de código abierto
- organización
- para las fiestas.
- de otra manera
- esbozado
- alcance
- EL DESARROLLADOR
- Participantes
- particular
- partes
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Popular
- la posibilidad
- protocolo
- publicado
- vea la grabación
- permanecer
- sanaciones
- reporte
- RESTO
- s
- EN LINEA
- segmento
- sensible
- Serie
- Sesión
- Establecido
- Varios
- tienes
- simplemente
- inteligente
- sofisticado
- Fuente
- stand
- estándar
- estándares de salud
- almacenados
- Después
- Todas las funciones a su disposición
- ETIQUETA
- tiene como objetivo
- Técnico
- Tecnología
- esa
- El
- su
- Estas
- cosas
- Código
- amenaza
- Tres
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- a
- Total
- transferir
- Convertido
- tipos
- desbloquear
- Usuario
- usuarios
- Utilizando
- vendedor
- verificar
- Video
- Vulnerabilidades
- vulnerabilidad
- Vulnerable
- web
- servidor web
- WELL
- que
- mientras
- dentro de
- sin
- mundo
- zephyrnet
- vulnerabilidades de día cero