Hiina ettevõtte Akuvoxi populaarne nutikas sisetelefon ja videotelefon E11 on täis enam kui tosinat haavatavust, sealhulgas kriitilist viga, mis võimaldab autentida kaugkoodikäivitust (RCE).
These could allow malicious actors to access an organization's network, steal photos or video captured by the device, control the camera and microphone, or even lock or unlock doors.
The vulnerabilities were discovered and highlighted by security firm Claroty's Team82, which became aware of the device's weaknesses when they moved into an office where the E11 had already been installed.
Members of Team82's curiosity about the device turned into a full-blown investigation as they uncovered 13 vulnerabilities, which they divided into three categories based on the attack vector used.
The first two types can occur either through RCE within the local area network or remote activation of the E11's camera and microphone, allowing the attacker to collect and exfiltrate multimedia recordings. The third attack vector targets access to an external, insecure file transfer protocol (FTP) server, allowing the actor to download stored images and data.
Kriitiline RCE viga Akuvox 311-s
Mis puutub vigadesse, mis kõige enam silma paistavad, siis üks kriitiline oht - CVE-2023-0354, mille CVSS skoor on 9.1 – võimaldab juurdepääsu E11 veebiserverile ilma kasutaja autentimiseta, võimaldades ründajale hõlpsasti juurdepääsu tundlikule teabele.
"The Akuvox E11 Web server can be accessed without any user authentication, and this could allow an attacker to access sensitive information, as well as create and download packet captures with known default URLs," according to the Cybersecurity and Infrastructure Security Agency (CISA), which published an advisory about the bugs, including a haavatavuse ülevaade.
Veel üks tähelepanuväärne haavatavus (CVE-2023-0348, mille CVSS skoor on 7.5) puudutab SmartPlusi mobiilirakendust, mille iOS-i ja Androidi kasutajad saavad E11-ga suhtlemiseks alla laadida.
The core issue lies in the app's implementation of the open source Session Initiation Protocol (SIP) to enable communication between two or more participants over IP networks. The SIP server does not verify the authorization of SmartPlus users to connect to a particular E11, meaning any individual with the app installed can connect to any E11 connected to the Web — including those located behind a firewall.
"We tested this using the intercom at our lab and another one at the office entrance," according to the Claroty report. "Each intercom is associated with different accounts and different parties. We were, in fact, able to activate the camera and microphone by making a SIP call from the lab's account to the intercom at the door."
Akuvoxi turvaaukud jäävad parandamata
Team82 outlined their attempts to bring the vulnerabilities to the Akuvox's attention, beginning in January 2022, but after several outreach attempts, Claroty's account with the vendor was blocked. Team82 subsequently published a technical blog detailing the zero-day vulnerabilities and involved the CERT Coordination Center (CERT/CC) and CISA.
E11 kasutavatel organisatsioonidel soovitatakse see Interneti-ühendusest lahti ühendada, kuni haavatavused on parandatud, või muul viisil tagada, et kaamera ei suudaks tundlikku teavet salvestada.
Within the local area network, "organizations are advised to segment and isolate the Akuvox device from the rest of the enterprise network," according to the Claroty report. "Not only should the device reside on its own network segment, but communication to this segment should be limited to a minimal list of endpoints."
Kaamerates ja asjade Interneti-seadmetes on palju vigu
Üha enam ühendatud seadmete maailm on loonud a suur rünnakupind kogenud vastaste jaoks.
Ainuüksi tööstuslike asjade interneti (IoT) ühenduste arv – mis mõõdab kasutusele võetud asjade interneti seadmete koguarvu – peaks 36.8. aastal enam kui kahekordistuma 2025 miljardini, võrreldes 17.7 miljardiga 2020. aastal. Juniper Researchi andmetel.
Ja kuigi Riiklik Standardi- ja Tehnoloogiainstituut (NIST) on leppinud standardiga IoT-side krüpteerimine, on paljud seadmed haavatavad ja parandamata.
Akuvox on uusim neist pikast reast, mis on seadme turvalisuse osas tõsiselt puudulik. Näiteks oli Hikvisioni IP-videokaamerate kriitiline RCE haavatavus avalikustati eelmisel aastal.
Eelmise aasta novembris võimaldas Aiphone pakutavate populaarsete digitaalsete uksesissepääsusüsteemide haavatavus häkkeritel sisenemissüsteeme rikkuda — lihtsalt kasutades mobiilseadet ja lähiväljaside (NFC) silti.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://www.darkreading.com/cloud/unpatched-zero-day-bugs-smart-intercom-remote-eavesdropping
- :on
- $ UP
- 1
- 2020
- 2022
- 7
- 8
- 9
- a
- Võimalik
- MEIST
- juurdepääs
- pääses
- Vastavalt
- konto
- Kontod
- Aktiveerimine
- osalejad
- nõuandev
- pärast
- agentuur
- Lubades
- võimaldab
- üksi
- juba
- ja
- infrastruktuuri
- android
- Teine
- app
- OLEME
- PIIRKOND
- AS
- seotud
- At
- rünnak
- Katsed
- tähelepanu
- Autentimine
- luba
- põhineb
- BE
- Algus
- taga
- vahel
- Miljard
- blokeeritud
- Blogi
- tooma
- Bug
- vead
- by
- helistama
- kaamera
- Kaamerad
- CAN
- võimeline
- lööb
- kategooriad
- keskus
- hiina
- CISA
- kood
- koguma
- KOMMUNIKATSIOON
- ettevõte
- Murettekitav
- Võta meiega ühendust
- seotud
- ühendatud seadmeid
- Side
- kontrollida
- kooskõlastamine
- tuum
- võiks
- looma
- loodud
- kriitiline
- uudishimu
- Küberturvalisus
- Küberturvalisuse ja infrastruktuuri turvalisuse amet
- andmed
- vaikimisi
- lähetatud
- Detailimine
- seade
- seadmed
- erinev
- digitaalne
- avastasin
- jagatud
- Uks
- uksed
- kahekordistada
- lae alla
- tosin
- iga
- kumbki
- võimaldama
- tagama
- ettevõte
- sissepääs
- kanne
- Eeter (ETH)
- Isegi
- täitmine
- oodatav
- väline
- fail
- tulemüüri
- Firma
- esimene
- fikseeritud
- eest
- avastatud
- Alates
- andmine
- häkkerid
- Esiletõstetud
- http
- HTTPS
- pildid
- täitmine
- in
- Kaasa arvatud
- üha rohkem
- eraldi
- tööstus-
- info
- Infrastruktuur
- Näiteks
- Instituut
- suhelda
- Internet
- Asjade Internet
- uurimine
- seotud
- iOS
- asjade Interneti
- seadmed
- IP
- probleem
- IT
- ITS
- Jaanuar
- teatud
- labor
- viimane
- hiljemalt
- piiratud
- joon
- nimekiri
- kohalik
- asub
- Pikk
- Tegemine
- palju
- tähendus
- mõõtma
- mikrofon
- minimaalne
- mobiilne
- mobiilirakenduse
- mobiilne seade
- rohkem
- kõige
- Multimeedia
- riiklik
- võrk
- võrgustikud
- NFC
- nst
- November
- number
- of
- pakutud
- Office
- on
- ONE
- avatud
- avatud lähtekoodiga
- organisatsioon
- organisatsioonid
- muidu
- välja toodud
- teavitustegevuse
- enda
- osalejad
- eriline
- isikutele
- Platon
- Platoni andmete intelligentsus
- PlatoData
- populaarne
- potentsiaalselt
- protokoll
- avaldatud
- salvestamine
- jääma
- kauge
- aru
- REST
- s
- turvalisus
- segment
- tundlik
- Seeria
- istung
- Väljakujunenud
- mitu
- peaks
- lihtsalt
- nutikas
- keeruline
- allikas
- seisma
- standard
- standardite
- ladustatud
- Järgnevalt
- süsteemid
- TAG
- eesmärgid
- Tehniline
- Tehnoloogia
- et
- .
- oma
- Need
- asjad
- Kolmas
- oht
- kolm
- Läbi
- et
- Summa
- üle
- Pöördunud
- liigid
- avamine
- Kasutaja
- Kasutajad
- kasutades
- müüja
- kontrollima
- Video
- Haavatavused
- haavatavus
- Haavatav
- web
- veebiserver
- Hästi
- mis
- kuigi
- koos
- jooksul
- ilma
- maailm
- sephyrnet
- nullpäeva haavatavused