Un interphone et vidéophone intelligent populaire de la société chinoise Akuvox, le E11, est criblé de plus d'une douzaine de vulnérabilités, y compris un bogue critique qui permet l'exécution de code à distance non authentifié (RCE).
Ceux-ci pourraient permettre à des acteurs malveillants d'accéder au réseau d'une organisation, de voler des photos ou des vidéos capturées par l'appareil, de contrôler la caméra et le microphone, ou même de verrouiller ou déverrouiller des portes.
Les vulnérabilités ont été découvertes et mises en évidence par la société de sécurité Claroty's Team82, qui a pris conscience des faiblesses de l'appareil lors de son emménagement dans un bureau où le E11 était déjà installé.
La curiosité des membres de Team82 pour l'appareil s'est transformée en une enquête approfondie puisqu'ils ont découvert 13 vulnérabilités, qu'ils ont divisées en trois catégories en fonction du vecteur d'attaque utilisé.
Les deux premiers types peuvent se produire soit via RCE au sein du réseau local, soit par l'activation à distance de la caméra et du microphone de l'E11, permettant à l'attaquant de collecter et d'exfiltrer des enregistrements multimédia. Le troisième vecteur d’attaque cible l’accès à un serveur FTP (File Transfer Protocol) externe et non sécurisé, permettant à l’acteur de télécharger des images et des données stockées.
Un bogue RCE critique dans l'Akuvox 311
En ce qui concerne les bugs qui se démarquent le plus, une menace critique - CVE-2023-0354, avec un score CVSS de 9.1 — permet d'accéder au serveur Web E11 sans aucune authentification de l'utilisateur, ce qui permet potentiellement à un attaquant d'accéder facilement à des informations sensibles.
"Le serveur Web Akuvox E11 est accessible sans aucune authentification de l'utilisateur, ce qui pourrait permettre à un attaquant d'accéder à des informations sensibles, ainsi que de créer et de télécharger des captures de paquets avec des URL par défaut connues", selon l'Agence de cybersécurité et de sécurité des infrastructures (CISA). , qui a publié un avis sur les bugs, comprenant un aperçu des vulnérabilités.
Une autre vulnérabilité à noter (CVE-2023-0348, avec un score CVSS de 7.5) concerne l'application mobile SmartPlus que les utilisateurs iOS et Android peuvent télécharger pour interagir avec le E11.
Le problème principal réside dans la mise en œuvre par l'application du protocole SIP (Session Initiation Protocol) open source pour permettre la communication entre deux ou plusieurs participants sur les réseaux IP. Le serveur SIP ne vérifie pas l'autorisation des utilisateurs de SmartPlus à se connecter à un E11 particulier, ce qui signifie que toute personne disposant de l'application installée peut se connecter à n'importe quel E11 connecté au Web, y compris ceux situés derrière un pare-feu.
"Nous avons testé cela en utilisant l'interphone de notre laboratoire et un autre à l'entrée du bureau", selon le rapport Claroty. "Chaque interphone est associé à différents comptes et différents interlocuteurs. Nous avons en effet pu activer la caméra et le microphone en passant un appel SIP depuis le compte du laboratoire vers l'interphone de la porte."
Les vulnérabilités de sécurité d'Akuvox restent non corrigées
Team82 a décrit ses tentatives pour attirer l'attention d'Akuvox sur les vulnérabilités, à partir de janvier 2022, mais après plusieurs tentatives de sensibilisation, le compte de Claroty auprès du fournisseur a été bloqué. Team82 a ensuite publié un blog technique détaillant les vulnérabilités du jour zéro et a impliqué le centre de coordination du CERT (CERT/CC) et le CISA.
Il est conseillé aux organisations utilisant le E11 de le déconnecter d'Internet jusqu'à ce que les vulnérabilités soient corrigées, ou de s'assurer que la caméra n'est pas capable d'enregistrer des informations sensibles.
Au sein du réseau local, « il est conseillé aux organisations de segmenter et d'isoler l'appareil Akuvox du reste du réseau d'entreprise », selon le rapport Claroty. "Non seulement l'appareil doit résider sur son propre segment de réseau, mais la communication avec ce segment doit être limitée à une liste minimale de points de terminaison."
Les bogues dans les caméras et les appareils IoT abondent
Un monde d'appareils de plus en plus connectés a créé un vaste surface d'attaque pour des adversaires sophistiqués.
Le nombre de connexions industrielles à l'Internet des objets (IoT) seul - une mesure du nombre total d'appareils IoT déployés - devrait plus que doubler pour atteindre 36.8 milliards en 2025, contre 17.7 milliards en 2020, selon Juniper Research.
Et tandis que le National Institute of Standards and Technology (NIST) a établi une norme pour cryptage des communications IoT, de nombreux appareils restent vulnérables et non corrigés.
Akuvox est le dernier d'une longue lignée de ceux-ci qui manquent gravement en matière de sécurité des appareils. Par exemple, une vulnérabilité RCE critique dans les caméras vidéo IP Hikvision était divulgué l'année dernière.
Et en novembre dernier, une vulnérabilité dans une série de systèmes d'entrée de porte numériques populaires proposés par Aiphone a permis aux pirates de violer les systèmes d'entrée — simplement en utilisant un appareil mobile et une étiquette de communication en champ proche (NFC).
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://www.darkreading.com/cloud/unpatched-zero-day-bugs-smart-intercom-remote-eavesdropping
- :est
- $UP
- 1
- 2020
- 2022
- 7
- 8
- 9
- a
- Capable
- Qui sommes-nous
- accès
- accédé
- Selon
- Compte
- hybrides
- Activation
- acteurs
- consultatif
- Après
- agence
- Permettre
- permet
- seul
- déjà
- ainsi que
- et infrastructure
- android
- Une autre
- appli
- SONT
- Réservé
- AS
- associé
- At
- attaquer
- Tentatives
- précaution
- Authentification
- autorisation
- basé
- BE
- Début
- derrière
- jusqu'à XNUMX fois
- Milliards
- bloqué
- BLOG
- apporter
- Punaise
- bogues
- by
- Appelez-nous
- appareil photo
- de CAMÉRAS de surveillance
- CAN
- capable
- captures
- catégories
- Canaux centraux
- chinois
- CISA
- code
- recueillir
- Communication
- Société
- Préoccupations
- NOUS CONTACTER
- connecté
- appareils connectés
- Connexions
- des bactéries
- coordination
- Core
- pourriez
- engendrent
- créée
- critique
- curiosité
- Cybersécurité
- Agence de cybersécurité et de sécurité des infrastructures
- données
- Réglage par défaut
- déployé
- Detailing
- dispositif
- Compatibles
- différent
- numérique
- découvert
- divisé
- Porte
- portes
- double
- download
- douzaine
- chacun
- non plus
- permettre
- assurer
- Entreprise
- entrée
- entrée
- Ether (ETH)
- Pourtant, la
- exécution
- attendu
- externe
- Déposez votre dernière attestation
- pare-feu
- Ferme
- Prénom
- fixé
- Pour
- trouvé
- de
- Don
- les pirates
- Surbrillance
- http
- HTTPS
- satellite
- la mise en oeuvre
- in
- Y compris
- de plus en plus
- individuel
- industriel
- d'information
- Infrastructure
- instance
- Institut
- interagir
- Internet
- Internet des objets
- enquête
- impliqué
- iOS
- IOT
- iot devices
- IP
- aide
- IT
- SES
- Janvier
- connu
- laboratoire
- Nom de famille
- Nouveautés
- limité
- Gamme
- Liste
- locales
- situé
- Location
- Fabrication
- de nombreuses
- sens
- mesurer
- microphone
- minimal
- Breeze Mobile
- Application Mobile
- appareil mobile
- PLUS
- (en fait, presque toutes)
- Multimédia
- Nationales
- réseau et
- réseaux
- NFC
- nist
- Novembre
- nombre
- of
- présenté
- Bureaux
- on
- ONE
- ouvert
- open source
- organisation
- organisations
- autrement
- décrit
- sensibilisation
- propre
- participants
- particulier
- les parties
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Populaire
- l'éventualité
- protocole
- publié
- l'enregistrement
- rester
- éloigné
- rapport
- REST
- s
- sécurité
- clignotant
- sensible
- Série
- Session
- Établi
- plusieurs
- devrait
- simplement
- smart
- sophistiqué
- Identifier
- Utilisation d'un
- Standard
- Normes
- stockée
- Par la suite
- Système
- TAG
- objectifs
- Technique
- Technologie
- qui
- La
- leur
- Ces
- des choses
- Troisièmement
- menace
- trois
- Avec
- à
- Total
- transférer
- Tourné
- types
- ouvrir
- Utilisateur
- utilisateurs
- Utilisant
- vendeur
- vérifier
- Vidéo
- vulnérabilités
- vulnérabilité
- Vulnérable
- web
- le serveur web
- WELL
- qui
- tout en
- comprenant
- dans les
- sans
- world
- zéphyrnet
- vulnérabilités zero-day