चीनी कंपनी अकुवॉक्स का एक लोकप्रिय स्मार्ट इंटरकॉम और वीडियोफोन, E11, एक दर्जन से अधिक भेद्यताओं से भरा हुआ है, जिसमें एक महत्वपूर्ण बग भी शामिल है जो अप्रमाणित रिमोट कोड निष्पादन (RCE) की अनुमति देता है।
ये दुर्भावनापूर्ण अभिनेताओं को किसी संगठन के नेटवर्क तक पहुंचने, डिवाइस द्वारा कैप्चर की गई तस्वीरें या वीडियो चुराने, कैमरा और माइक्रोफ़ोन को नियंत्रित करने या यहां तक कि दरवाजे लॉक या अनलॉक करने की अनुमति दे सकते हैं।
सुरक्षा फर्म क्लैरोटी की टीम82 द्वारा कमजोरियों की खोज की गई और उन्हें उजागर किया गया, जिन्हें डिवाइस की कमजोरियों के बारे में तब पता चला जब वे एक कार्यालय में गए जहां E11 पहले से ही स्थापित किया गया था।
डिवाइस के बारे में Team82 के सदस्यों की जिज्ञासा एक पूर्ण जांच में बदल गई क्योंकि उन्होंने 13 कमजोरियों को उजागर किया, जिन्हें उन्होंने उपयोग किए गए हमले वेक्टर के आधार पर तीन श्रेणियों में विभाजित किया।
पहले दो प्रकार या तो स्थानीय क्षेत्र नेटवर्क के भीतर आरसीई के माध्यम से या ई11 के कैमरे और माइक्रोफोन के दूरस्थ सक्रियण के माध्यम से हो सकते हैं, जिससे हमलावर को मल्टीमीडिया रिकॉर्डिंग एकत्र करने और घुसपैठ करने की अनुमति मिलती है। तीसरा हमला वेक्टर एक बाहरी, असुरक्षित फ़ाइल ट्रांसफर प्रोटोकॉल (एफ़टीपी) सर्वर तक पहुंच को लक्षित करता है, जिससे अभिनेता को संग्रहीत छवियां और डेटा डाउनलोड करने की अनुमति मिलती है।
अकुवॉक्स 311 में एक गंभीर आरसीई बग
जहाँ तक बग्स की बात है जो सबसे अलग हैं, एक गंभीर ख़तरा — CVE-2023-0354, 9.1 के सीवीएसएस स्कोर के साथ - E11 वेब सर्वर को बिना किसी उपयोगकर्ता प्रमाणीकरण के एक्सेस करने की अनुमति देता है, संभावित रूप से एक हमलावर को संवेदनशील जानकारी तक आसान पहुंच प्रदान करता है।
साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (सीआईएसए) के अनुसार, "अकुवॉक्स ई11 वेब सर्वर को बिना किसी उपयोगकर्ता प्रमाणीकरण के एक्सेस किया जा सकता है, और यह एक हमलावर को संवेदनशील जानकारी तक पहुंचने के साथ-साथ ज्ञात डिफ़ॉल्ट यूआरएल के साथ पैकेट कैप्चर बनाने और डाउनलोड करने की अनुमति दे सकता है।" , जिसने बग के बारे में एक सलाह प्रकाशित की, जिसमें एक भी शामिल है भेद्यता अवलोकन.
नोट की एक और भेद्यता (CVE-2023-0348, 7.5 के सीवीएसएस स्कोर के साथ) स्मार्टप्लस मोबाइल ऐप से संबंधित है जिसे आईओएस और एंड्रॉइड उपयोगकर्ता ई11 के साथ बातचीत करने के लिए डाउनलोड कर सकते हैं।
मुख्य मुद्दा आईपी नेटवर्क पर दो या दो से अधिक प्रतिभागियों के बीच संचार को सक्षम करने के लिए ऐप के ओपन सोर्स सेशन इनिशिएशन प्रोटोकॉल (एसआईपी) के कार्यान्वयन में निहित है। एसआईपी सर्वर किसी विशेष ई11 से कनेक्ट करने के लिए स्मार्टप्लस उपयोगकर्ताओं के प्राधिकरण को सत्यापित नहीं करता है, जिसका अर्थ है कि ऐप इंस्टॉल करने वाला कोई भी व्यक्ति वेब से जुड़े किसी भी ई11 से कनेक्ट हो सकता है - जिसमें फ़ायरवॉल के पीछे स्थित ईXNUMX भी शामिल है।
क्लैरोटी रिपोर्ट के अनुसार, "हमने अपनी प्रयोगशाला में इंटरकॉम का उपयोग करके और कार्यालय के प्रवेश द्वार पर एक और इंटरकॉम का उपयोग करके इसका परीक्षण किया।" "प्रत्येक इंटरकॉम अलग-अलग खातों और अलग-अलग पार्टियों से जुड़ा हुआ है। वास्तव में, हम लैब के खाते से दरवाजे पर लगे इंटरकॉम पर एसआईपी कॉल करके कैमरा और माइक्रोफोन को सक्रिय करने में सक्षम थे।"
अकुवोक्स सुरक्षा भेद्यताएं पैच नहीं की गई हैं
टीम82 ने जनवरी 2022 से शुरू करके अकुवोक्स के ध्यान में कमजोरियों को लाने के अपने प्रयासों की रूपरेखा तैयार की, लेकिन कई आउटरीच प्रयासों के बाद, विक्रेता के साथ क्लैरोटी का खाता अवरुद्ध कर दिया गया। टीम82 ने बाद में एक तकनीकी ब्लॉग प्रकाशित किया जिसमें शून्य-दिन की कमजोरियों का विवरण दिया गया और इसमें सीईआरटी समन्वय केंद्र (सीईआरटी/सीसी) और सीआईएसए शामिल थे।
E11 का उपयोग करने वाले संगठनों को सलाह दी जाती है कि जब तक भेद्यताएं ठीक नहीं हो जातीं, या अन्यथा यह सुनिश्चित करने के लिए कि कैमरा संवेदनशील जानकारी रिकॉर्ड करने में सक्षम नहीं है, तब तक इसे इंटरनेट से डिस्कनेक्ट कर दें।
क्लैरोटी रिपोर्ट के अनुसार, स्थानीय क्षेत्र नेटवर्क के भीतर, "संगठनों को सलाह दी जाती है कि वे अकुवोक्स डिवाइस को बाकी एंटरप्राइज नेटवर्क से अलग कर दें।" "न केवल डिवाइस को अपने नेटवर्क सेगमेंट पर रहना चाहिए, बल्कि इस सेगमेंट में संचार एंडपॉइंट की न्यूनतम सूची तक सीमित होना चाहिए।"
कैमरों और IoT उपकरणों में कीड़े बहुत अधिक हैं
तेजी से जुड़े उपकरणों की दुनिया ने एक बनाया है विशाल हमले की सतह परिष्कृत विरोधियों के लिए।
इंडस्ट्रियल इंटरनेट ऑफ थिंग्स (IoT) कनेक्शन की संख्या - तैनात किए गए कुल IoT उपकरणों की संख्या का एक उपाय - 36.8 में 2025 बिलियन से दोगुना से अधिक होने की उम्मीद है, जो 17.7 में 2020 बिलियन से अधिक है, जुनिपर रिसर्च के अनुसार.
और जबकि राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) के लिए एक मानक तय किया गया है IoT संचार को एन्क्रिप्ट करना, कई डिवाइस असुरक्षित और पैच न किए गए रहते हैं।
जब डिवाइस सुरक्षा की बात आती है तो इनमें से एक लंबी कतार में अकुवॉक्स नवीनतम है। उदाहरण के लिए, Hikvision IP वीडियो कैमरों में एक महत्वपूर्ण RCE भेद्यता थी पिछले साल खुलासा किया.
और पिछले नवंबर में, Aiphone द्वारा पेश किए गए लोकप्रिय डिजिटल डोर-एंट्री सिस्टम की एक श्रृंखला में एक भेद्यता ने हैकर्स को अनुमति दी प्रवेश प्रणाली का उल्लंघन - बस एक मोबाइल डिवाइस और नियर-फील्ड कम्युनिकेशन (NFC) टैग का उपयोग करके।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cloud/unpatched-zero-day-bugs-smart-intercom-remote-eavesdropping
- :है
- $यूपी
- 1
- 2020
- 2022
- 7
- 8
- 9
- a
- योग्य
- About
- पहुँच
- पहुँचा
- अनुसार
- लेखा
- अकौन्टस(लेखा)
- सक्रियण
- अभिनेताओं
- सलाहकार
- बाद
- एजेंसी
- की अनुमति दे
- की अनुमति देता है
- अकेला
- पहले ही
- और
- और बुनियादी ढांचे
- एंड्रॉयड
- अन्य
- अनुप्रयोग
- हैं
- क्षेत्र
- AS
- जुड़े
- At
- आक्रमण
- प्रयास
- ध्यान
- प्रमाणीकरण
- प्राधिकरण
- आधारित
- BE
- शुरू
- पीछे
- के बीच
- बिलियन
- अवरुद्ध
- ब्लॉग
- लाना
- दोष
- कीड़े
- by
- कॉल
- कैमरा
- कैमरों
- कर सकते हैं
- सक्षम
- कब्जा
- श्रेणियाँ
- केंद्र
- चीनी
- सीआईएसए
- कोड
- इकट्ठा
- संचार
- कंपनी
- चिंताओं
- जुडिये
- जुड़ा हुआ
- जुड़ी हुई डिवाइसेज
- कनेक्शन
- नियंत्रण
- समन्वय
- मूल
- सका
- बनाना
- बनाया
- महत्वपूर्ण
- जिज्ञासा
- साइबर सुरक्षा
- साइबर सुरक्षा और अवसंरचना सुरक्षा एजेंसी
- तिथि
- चूक
- तैनात
- विस्तृतीकरण
- युक्ति
- डिवाइस
- विभिन्न
- डिजिटल
- की खोज
- विभाजित
- द्वारा
- दरवाजे
- डबल
- डाउनलोड
- दर्जन
- से प्रत्येक
- भी
- सक्षम
- सुनिश्चित
- उद्यम
- प्रवेश
- प्रविष्टि
- ईथर (ईटीएच)
- और भी
- निष्पादन
- अपेक्षित
- बाहरी
- पट्टिका
- फ़ायरवॉल
- फर्म
- प्रथम
- तय
- के लिए
- पाया
- से
- देते
- हैकर्स
- हाइलाइट
- http
- HTTPS
- छवियों
- कार्यान्वयन
- in
- सहित
- तेजी
- व्यक्ति
- औद्योगिक
- करें-
- इंफ्रास्ट्रक्चर
- उदाहरण
- संस्थान
- बातचीत
- इंटरनेट
- चीजों की इंटरनेट
- जांच
- शामिल
- iOS
- IOT
- iot उपकरण
- IP
- मुद्दा
- IT
- आईटी इस
- जनवरी
- जानने वाला
- प्रयोगशाला
- पिछली बार
- ताज़ा
- सीमित
- लाइन
- सूची
- स्थानीय
- स्थित
- लंबा
- निर्माण
- बहुत
- अर्थ
- माप
- माइक्रोफोन
- कम से कम
- मोबाइल
- मोबाइल एप्लिकेशन
- मोबाइल डिवाइस
- अधिक
- अधिकांश
- मल्टीमीडिया
- राष्ट्रीय
- नेटवर्क
- नेटवर्क
- एनएफसी
- NIST
- नवंबर
- संख्या
- of
- प्रस्तुत
- Office
- on
- ONE
- खुला
- खुला स्रोत
- संगठन
- संगठनों
- अन्यथा
- उल्लिखित
- आउटरीच
- अपना
- प्रतिभागियों
- विशेष
- पार्टियों
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- लोकप्रिय
- संभावित
- प्रोटोकॉल
- प्रकाशित
- रिकॉर्डिंग
- रहना
- दूरस्थ
- रिपोर्ट
- बाकी
- s
- सुरक्षा
- खंड
- संवेदनशील
- कई
- सत्र
- बसे
- कई
- चाहिए
- केवल
- स्मार्ट
- परिष्कृत
- स्रोत
- स्टैंड
- मानक
- मानकों
- संग्रहित
- इसके बाद
- सिस्टम
- टैग
- लक्ष्य
- तकनीकी
- टेक्नोलॉजी
- कि
- RSI
- लेकिन हाल ही
- इन
- चीज़ें
- तीसरा
- धमकी
- तीन
- यहाँ
- सेवा मेरे
- कुल
- स्थानांतरण
- बदल गया
- प्रकार
- अनलॉक
- उपयोगकर्ता
- उपयोगकर्ताओं
- उपयोग
- विक्रेता
- सत्यापित
- वीडियो
- कमजोरियों
- भेद्यता
- चपेट में
- वेब
- वेब सर्वर
- कुंआ
- कौन कौन से
- जब
- साथ में
- अंदर
- बिना
- विश्व
- जेफिरनेट
- शून्य-दिवस भेद्यता