중국 회사 Akuvox의 인기 있는 스마트 인터콤 및 비디오폰 E11에는 인증되지 않은 RCE(원격 코드 실행)를 허용하는 치명적인 버그를 포함하여 XNUMX개 이상의 취약점이 있습니다.
이를 통해 악의적인 행위자가 조직의 네트워크에 액세스하고, 장치에서 캡처한 사진이나 비디오를 훔치고, 카메라와 마이크를 제어하고, 심지어 문을 잠그거나 잠금 해제할 수도 있습니다.
보안 회사인 Claroty의 Team82는 E11이 이미 설치된 사무실로 이사하면서 장치의 약점을 알게 되면서 취약점을 발견하고 강조했습니다.
Team82의 구성원들은 장치에 대한 호기심이 본격적인 조사로 바뀌어 13개의 취약점을 발견했으며, 이를 사용된 공격 벡터에 따라 세 가지 범주로 분류했습니다.
처음 두 가지 유형은 로컬 영역 네트워크 내 RCE를 통해 발생하거나 E11 카메라 및 마이크의 원격 활성화를 통해 발생하여 공격자가 멀티미디어 녹음을 수집하고 추출할 수 있습니다. 세 번째 공격 벡터는 안전하지 않은 외부 FTP(파일 전송 프로토콜) 서버에 대한 액세스를 표적으로 삼아 공격자가 저장된 이미지와 데이터를 다운로드할 수 있도록 합니다.
Akuvox 311의 중요한 RCE 버그
가장 눈에 띄는 버그는 하나의 치명적인 위협입니다. CVE-2023-0354, CVSS 점수 9.1 - 사용자 인증 없이 E11 웹 서버에 액세스할 수 있으므로 잠재적으로 공격자가 중요한 정보에 쉽게 액세스할 수 있습니다.
CISA(사이버보안 및 인프라 보안국)에 따르면 "Akuvox E11 웹 서버는 사용자 인증 없이 액세스할 수 있으며 이로 인해 공격자가 민감한 정보에 액세스할 수 있을 뿐만 아니라 알려진 기본 URL을 사용하여 패킷 캡처를 생성 및 다운로드할 수 있습니다." , 다음을 포함하여 버그에 대한 권고를 게시했습니다. 취약점 개요.
주목해야 할 또 다른 취약점(CVE-2023-0348, CVSS 점수 7.5)는 iOS 및 Android 사용자가 E11과 상호 작용하기 위해 다운로드할 수 있는 SmartPlus 모바일 앱에 관한 것입니다.
핵심 문제는 IP 네트워크를 통해 둘 이상의 참가자 간의 통신을 가능하게 하는 오픈 소스 SIP(Session Initiation Protocol)의 앱 구현에 있습니다. SIP 서버는 SmartPlus 사용자가 특정 E11에 연결할 수 있는 권한을 확인하지 않습니다. 즉, 앱이 설치된 개인은 누구나 방화벽 뒤에 있는 E11을 포함하여 웹에 연결된 모든 EXNUMX에 연결할 수 있습니다.
Claroty 보고서에 따르면 "우리는 연구실의 인터콤과 사무실 입구의 인터콤을 사용하여 이를 테스트했습니다."라고 합니다. "각 인터콤은 서로 다른 계정 및 서로 다른 당사자와 연결되어 있습니다. 실제로 연구실 계정에서 문에 있는 인터콤으로 SIP 통화를 하여 카메라와 마이크를 활성화할 수 있었습니다."
아직 패치되지 않은 Akuvox 보안 취약점
Team82는 2022년 82월부터 취약점을 Akuvox에 알리려는 시도를 설명했지만 여러 번의 지원 시도 끝에 Claroty의 공급업체 계정이 차단되었습니다. 이후 TeamXNUMX는 제로데이 취약점을 자세히 설명하고 CERT/CC(CERT Coordination Center) 및 CISA가 참여한 기술 블로그를 게시했습니다.
E11을 사용하는 조직은 취약성이 수정될 때까지 인터넷에서 연결을 끊거나 카메라가 민감한 정보를 기록할 수 없도록 하는 것이 좋습니다.
Claroty 보고서에 따르면 근거리 통신망 내에서 "조직은 Akuvox 장치를 기업 네트워크의 나머지 부분과 분리하고 분리하는 것이 좋습니다"라고 합니다. "장치는 자체 네트워크 세그먼트에 있어야 할 뿐만 아니라 이 세그먼트에 대한 통신은 최소한의 엔드포인트 목록으로 제한되어야 합니다."
카메라 및 IoT 장치의 버그가 많습니다.
점점 더 연결되는 장치의 세계는 광대한 공격 표면 정교한 적을 위해.
산업용 사물 인터넷(IoT) 연결 수(배포된 총 IoT 장치 수의 척도)만 36.8년 2025억 개에서 17.7년에는 2020억 개로 두 배 이상 증가할 것으로 예상됩니다. 주니퍼 리서치에 따르면.
NIST(National Institute of Standards and Technology)는 IoT 통신 암호화, 많은 장치가 취약하고 패치되지 않은 상태로 남아 있습니다.
Akuvox는 장치 보안과 관련하여 심각하게 부족한 것으로 밝혀진 최신 제품입니다. 예를 들어 Hikvision IP 비디오 카메라의 치명적인 RCE 취약점은 작년 공개.
그리고 지난 XNUMX월, Aiphone이 제공하는 일련의 인기 있는 디지털 도어 엔트리 시스템의 취약점으로 인해 해커들이 다음을 수행할 수 있었습니다. 진입 시스템을 위반하다 — 모바일 장치와 근거리 통신(NFC) 태그를 활용하기만 하면 됩니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/cloud/unpatched-zero-day-bugs-smart-intercom-remote-eavesdropping
- :이다
- $UP
- 1
- 2020
- 2022
- 7
- 8
- 9
- a
- 할 수 있는
- 소개
- ACCESS
- 액세스
- 에 따르면
- 계정
- 계정
- 활성화
- 배우
- 자문
- 후
- 정부 기관
- 허용
- 수
- 혼자
- 이미
- 과
- 인프라
- 기계적 인조 인간
- 다른
- 앱
- 있군요
- 지역
- AS
- 관련
- At
- 공격
- 시도
- 주의
- 인증
- 권한 부여
- 기반으로
- BE
- 처음
- 뒤에
- 사이에
- 억원
- 차단
- 블로그
- 가져
- 곤충
- 버그
- by
- 전화
- 카메라
- 카메라
- CAN
- 수
- 캡처
- 카테고리
- 센터
- 중국말
- CISA
- 암호
- 수집
- 의사 소통
- 회사
- 우려 사항
- 연결하기
- 연결
- 연결된 장치
- 연결
- 제어
- 조정
- 핵심
- 수
- 만들
- 만든
- 임계
- 호기심
- 사이버 보안
- 사이버 보안 및 인프라 보안 기관
- 데이터
- 태만
- 배포
- 디테일링
- 장치
- 디바이스
- 다른
- 디지털
- 발견
- 분할 된
- 문
- 문
- 더블
- 다운로드
- 다스
- 마다
- 중
- 가능
- 확인
- Enterprise
- 입구
- 항목
- 에테르 (ETH)
- 조차
- 실행
- 기대하는
- 외부
- 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에
- 방화벽
- 굳은
- 먼저,
- 고정
- 럭셔리
- 발견
- 에
- 기부
- 해커
- 강조
- HTTP
- HTTPS
- 형상
- 이행
- in
- 포함
- 더욱 더
- 개인
- 산업
- 정보
- 인프라
- 예
- 학회
- 상호 작용하는
- 인터넷
- 사물의 인터넷
- 조사
- 참여
- iOS
- IOT
- IoT 장치
- IP
- 발행물
- IT
- 그
- 일월
- 알려진
- 실험실
- 성
- 최근
- 제한된
- 라인
- 명부
- 지방의
- 위치한
- 긴
- 유튜브 영상을 만드는 것은
- .
- 의미
- 측정
- 마이크로폰
- 최소의
- 모바일
- 모바일 앱
- 휴대 기기
- 배우기
- 가장
- 멀티미디어
- 국가의
- 네트워크
- 네트워크
- NFC
- nist
- 십일월
- 번호
- of
- 제공
- Office
- on
- ONE
- 열 수
- 오픈 소스
- 조직
- 조직
- 그렇지 않으면
- 설명
- 쭉 내밀다
- 자신의
- 참가자
- 특별한
- 파티
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 인기 문서
- 잠재적으로
- 프로토콜
- 출판
- 방송
- 남아
- 먼
- 신고
- REST
- s
- 보안
- 분절
- 민감한
- 연속
- 세션
- 정착 시민
- 몇몇의
- 영상을
- 간단히
- 스마트 한
- 정교한
- 출처
- 서다
- 표준
- 기준
- 저장
- 그후
- 시스템은
- TAG
- 목표
- 테크니컬
- Technology
- 그
- XNUMXD덴탈의
- 그들의
- Bowman의
- 일
- 제삼
- 위협
- 세
- 을 통하여
- 에
- 금액
- 이전
- 돌린
- 유형
- 잠금을 해제
- 사용자
- 사용자
- 활용
- 공급 업체
- 확인
- Video
- 취약점
- 취약점
- 취약
- 웹
- 웹 서버
- 잘
- 어느
- 동안
- 과
- 이내
- 없이
- 세계
- 제퍼 넷
- 제로 데이 취약점