Un popolare citofono e videotelefono intelligente dell'azienda cinese Akuvox, l'E11, è pieno di più di una dozzina di vulnerabilità, incluso un bug critico che consente l'esecuzione di codice remoto non autenticato (RCE).
Questi potrebbero consentire ad autori malintenzionati di accedere alla rete di un'organizzazione, rubare foto o video catturati dal dispositivo, controllare la fotocamera e il microfono o persino bloccare o sbloccare le porte.
Le vulnerabilità sono state scoperte ed evidenziate dalla Team82 della società di sicurezza Claroty, che si è accorta dei punti deboli del dispositivo quando si è trasferita in un ufficio dove l'E11 era già stato installato.
La curiosità dei membri del Team82 nei confronti del dispositivo si è trasformata in un'indagine in piena regola, scoprendo 13 vulnerabilità, che hanno suddiviso in tre categorie in base al vettore di attacco utilizzato.
I primi due tipi possono avvenire tramite RCE all'interno della rete locale o tramite l'attivazione remota della fotocamera e del microfono dell'E11, consentendo all'aggressore di raccogliere ed esfiltrare registrazioni multimediali. Il terzo vettore di attacco prende di mira l’accesso a un server FTP (File Transfer Protocol) esterno e non sicuro, consentendo all’autore del attacco di scaricare immagini e dati archiviati.
Un bug RCE critico nell'Akuvox 311
Per quanto riguarda i bug che si distinguono di più, una minaccia critica: CVE-2023-0354, con un punteggio CVSS di 9.1 — consente l'accesso al server Web E11 senza alcuna autenticazione utente, offrendo potenzialmente a un utente malintenzionato un facile accesso a informazioni sensibili.
"È possibile accedere al server Web Akuvox E11 senza alcuna autenticazione dell'utente e ciò potrebbe consentire a un utente malintenzionato di accedere a informazioni sensibili, nonché di creare e scaricare acquisizioni di pacchetti con URL predefiniti noti", secondo la Cybersecurity and Infrastructure Security Agency (CISA) , che ha pubblicato un avviso sui bug, incluso a panoramica delle vulnerabilità.
Un'altra vulnerabilità degna di nota (CVE-2023-0348, con un punteggio CVSS di 7.5) riguarda l'app mobile SmartPlus che gli utenti iOS e Android possono scaricare per interagire con l'E11.
Il problema principale risiede nell'implementazione da parte dell'app del Session Initiation Protocol (SIP) open source per consentire la comunicazione tra due o più partecipanti su reti IP. Il server SIP non verifica l'autorizzazione degli utenti SmartPlus a connettersi a un particolare E11, il che significa che qualsiasi individuo con l'app installata può connettersi a qualsiasi E11 connesso al Web, compresi quelli situati dietro un firewall.
"Lo abbiamo testato utilizzando l'interfono nel nostro laboratorio e un altro all'ingresso dell'ufficio", secondo il rapporto Claroty. "Ogni citofono è associato a diversi account e a diversi interlocutori. Siamo riusciti infatti ad attivare la telecamera e il microfono effettuando una chiamata SIP dall'account del laboratorio al citofono alla porta."
Le vulnerabilità di sicurezza di Akuvox rimangono prive di patch
Team82 ha delineato i propri tentativi di portare le vulnerabilità all'attenzione di Akuvox, a partire da gennaio 2022, ma dopo diversi tentativi di sensibilizzazione, l'account di Claroty presso il venditore è stato bloccato. Team82 ha successivamente pubblicato un blog tecnico che descrive dettagliatamente le vulnerabilità zero-day e ha coinvolto il Centro di coordinamento CERT (CERT/CC) e CISA.
Si consiglia alle organizzazioni che utilizzano l'E11 di disconnetterlo da Internet fino a quando le vulnerabilità non vengono risolte o di assicurarsi in altro modo che la videocamera non sia in grado di registrare informazioni sensibili.
All'interno della rete locale, "si consiglia alle organizzazioni di segmentare e isolare il dispositivo Akuvox dal resto della rete aziendale", secondo il rapporto Claroty. "Non solo il dispositivo dovrebbe risiedere sul proprio segmento di rete, ma la comunicazione con questo segmento dovrebbe essere limitata a un elenco minimo di endpoint."
I bug nelle fotocamere e nei dispositivi IoT abbondano
Un mondo di dispositivi sempre più connessi ha creato un vasta superficie di attacco per avversari sofisticati.
Si prevede che il solo numero di connessioni Internet of Things (IoT) industriale, una misura del numero totale di dispositivi IoT implementati, raddoppierà fino a raggiungere i 36.8 miliardi nel 2025, rispetto ai 17.7 miliardi del 2020, secondo Juniper Research.
E mentre il National Institute of Standards and Technology (NIST) ha optato per uno standard per crittografia delle comunicazioni IoT, molti dispositivi rimangono vulnerabili e privi di patch.
Akuvox è l'ultimo di una lunga serie di questi che si sono rivelati gravemente carenti quando si tratta di sicurezza del dispositivo. Ad esempio, una vulnerabilità RCE critica nelle videocamere IP di Hikvision era divulgato lo scorso anno.
E lo scorso novembre, una vulnerabilità in una serie di popolari sistemi di citofonia digitale offerti da Aiphone ha consentito agli hacker di farlo violare i sistemi di accesso — semplicemente utilizzando un dispositivo mobile e un tag NFC (Near Field Communication).
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.darkreading.com/cloud/unpatched-zero-day-bugs-smart-intercom-remote-eavesdropping
- :È
- $ SU
- 1
- 2020
- 2022
- 7
- 8
- 9
- a
- capace
- Chi siamo
- accesso
- accessibile
- Secondo
- Il mio account
- conti
- Attivazione
- attori
- consultivo
- Dopo shavasana, sedersi in silenzio; saluti;
- agenzia
- Consentire
- consente
- da solo
- già
- ed
- e infrastruttura
- androide
- Un altro
- App
- SONO
- RISERVATA
- AS
- associato
- At
- attacco
- Tentativi
- attenzione
- Autenticazione
- autorizzazione
- basato
- BE
- Inizio
- dietro
- fra
- Miliardo
- bloccato
- Blog
- portare
- Insetto
- bug
- by
- chiamata
- stanza
- telecamere
- Materiale
- capace
- cattura
- categoria
- centro
- Cinese
- CISA
- codice
- raccogliere
- Comunicazione
- azienda
- preoccupazioni
- Connettiti
- collegato
- Dispositivi collegati
- Connessioni
- di controllo
- coordinazione
- Nucleo
- potuto
- creare
- creato
- critico
- curiosità
- Cybersecurity
- Cybersecurity and Infrastructure Security Agency
- dati
- Predefinito
- schierato
- Detailing
- dispositivo
- dispositivi
- diverso
- digitale
- scoperto
- Diviso
- Porta
- porte
- doppio
- scaricare
- dozzina
- ogni
- o
- enable
- garantire
- Impresa
- in trance
- iscrizione
- Etere (ETH)
- Anche
- esecuzione
- previsto
- esterno
- Compila il
- firewall
- Impresa
- Nome
- fisso
- Nel
- essere trovato
- da
- Dare
- hacker
- Evidenziato
- http
- HTTPS
- immagini
- implementazione
- in
- Compreso
- sempre più
- individuale
- industriale
- informazioni
- Infrastruttura
- esempio
- Istituto
- interagire
- Internet
- Internet delle cose
- indagine
- coinvolto
- iOS
- IoT
- dispositivi iot
- IP
- problema
- IT
- SUO
- Gennaio
- conosciuto
- laboratorio
- Cognome
- con i più recenti
- Limitato
- linea
- Lista
- locale
- collocato
- Lunghi
- Fare
- molti
- significato
- misurare
- microfono
- minimo
- Mobile
- mobile app
- dispositivo mobile
- Scopri di più
- maggior parte
- Multimedia
- il
- Rete
- reti
- NFC
- nista
- Novembre
- numero
- of
- offerto
- Office
- on
- ONE
- aprire
- open source
- organizzazione
- organizzazioni
- altrimenti
- delineato
- outreach
- proprio
- partecipanti
- particolare
- parti
- Platone
- Platone Data Intelligence
- PlatoneDati
- Popolare
- potenzialmente
- protocollo
- pubblicato
- registrazione
- rimanere
- a distanza
- rapporto
- REST
- s
- problemi di
- segmento
- delicata
- Serie
- Sessione
- Stabilizzato
- alcuni
- dovrebbero
- semplicemente
- smart
- sofisticato
- Fonte
- stare in piedi
- Standard
- standard
- memorizzati
- Successivamente
- SISTEMI DI TRATTAMENTO
- TAG
- obiettivi
- Consulenza
- Tecnologia
- che
- I
- loro
- Strumenti Bowman per analizzare le seguenti finiture:
- cose
- Terza
- minaccia
- tre
- Attraverso
- a
- Totale
- trasferimento
- Turned
- Tipi di
- sbloccare
- Utente
- utenti
- Utilizzando
- venditore
- verificare
- Video
- vulnerabilità
- vulnerabilità
- Vulnerabile
- sito web
- web server
- WELL
- quale
- while
- con
- entro
- senza
- mondo
- zefiro
- vulnerabilità zero-day