Een populaire slimme intercom en videofoon van het Chinese bedrijf Akuvox, de E11, zit vol met meer dan een dozijn kwetsbaarheden, waaronder een kritieke bug die niet-geverifieerde uitvoering van externe code (RCE) mogelijk maakt.
Hierdoor kunnen kwaadwillende actoren toegang krijgen tot het netwerk van een organisatie, foto's of video's stelen die door het apparaat zijn vastgelegd, de camera en microfoon bedienen, of zelfs deuren vergrendelen of ontgrendelen.
De kwetsbaarheden werden ontdekt en benadrukt door beveiligingsbedrijf Claroty's Team82, dat zich bewust werd van de zwakke punten van het apparaat toen ze naar een kantoor verhuisden waar de E11 al was geïnstalleerd.
De nieuwsgierigheid van Team82 naar het apparaat veranderde in een volledig onderzoek toen ze 13 kwetsbaarheden ontdekten, die ze in drie categorieën verdeelden op basis van de gebruikte aanvalsvector.
De eerste twee typen kunnen plaatsvinden via RCE binnen het lokale netwerk of via externe activering van de camera en microfoon van de E11, waardoor de aanvaller multimedia-opnamen kan verzamelen en exfiltreren. De derde aanvalsvector richt zich op toegang tot een externe, onveilige FTP-server (File Transfer Protocol), waardoor de actor opgeslagen afbeeldingen en gegevens kan downloaden.
Een kritieke RCE-bug in de Akuvox 311
Wat betreft bugs die het meest opvallen, één kritieke bedreiging - CVE-2023-0354, met een CVSS-score van 9.1 — geeft toegang tot de E11-webserver zonder enige gebruikersauthenticatie, waardoor een aanvaller mogelijk gemakkelijk toegang krijgt tot gevoelige informatie.
"De Akuvox E11-webserver is toegankelijk zonder enige gebruikersauthenticatie, en dit zou een aanvaller in staat kunnen stellen toegang te krijgen tot gevoelige informatie, en pakketopnamen met bekende standaard-URL's te maken en te downloaden", aldus de Cybersecurity and Infrastructure Security Agency (CISA). , dat een advies over de bugs publiceerde, waaronder een kwetsbaarheid overzicht.
Een andere opmerkelijke kwetsbaarheid (CVE-2023-0348, met een CVSS-score van 7.5) betreft de SmartPlus mobiele app die iOS- en Android-gebruikers kunnen downloaden om te communiceren met de E11.
Het kernprobleem ligt in de implementatie door de app van het open source Session Initiation Protocol (SIP) om communicatie tussen twee of meer deelnemers via IP-netwerken mogelijk te maken. De SIP-server verifieert niet de autorisatie van SmartPlus-gebruikers om verbinding te maken met een bepaalde E11, wat betekent dat iedereen met de geïnstalleerde app verbinding kan maken met elke E11 die met internet is verbonden, inclusief degenen die zich achter een firewall bevinden.
"We hebben dit getest met behulp van de intercom in ons laboratorium en een andere bij de ingang van het kantoor", aldus het Claroty-rapport. "Elke intercom is gekoppeld aan verschillende accounts en verschillende partijen. We konden de camera en microfoon namelijk activeren door een SIP-oproep te doen vanaf de account van het lab naar de intercom bij de deur."
Akuvox beveiligingsproblemen blijven ongepatcht
Team82 schetste hun pogingen om de kwetsbaarheden onder de aandacht van Akuvox te brengen, te beginnen in januari 2022, maar na verschillende outreach-pogingen werd Claroty's account bij de leverancier geblokkeerd. Team82 publiceerde vervolgens een technische blog waarin de zero-day-kwetsbaarheden werden beschreven, waarbij het CERT Coördinatiecentrum (CERT/CC) en CISA betrokken waren.
Organisaties die de E11 gebruiken, wordt geadviseerd om de verbinding met internet te verbreken totdat de kwetsbaarheden zijn verholpen, of om er anderszins voor te zorgen dat de camera geen gevoelige informatie kan opnemen.
Binnen het lokale netwerk "worden organisaties geadviseerd om het Akuvox-apparaat te segmenteren en te isoleren van de rest van het bedrijfsnetwerk", aldus het Claroty-rapport. "Het apparaat moet niet alleen op zijn eigen netwerksegment staan, maar de communicatie met dit segment moet beperkt blijven tot een minimale lijst met eindpunten."
Bugs in camera's en IoT-apparaten zijn er in overvloed
Een wereld van steeds meer verbonden apparaten heeft een enorm aanvalsoppervlak voor geavanceerde tegenstanders.
Alleen al het aantal industriële Internet of Things (IoT)-verbindingen – een maatstaf voor het totale aantal ingezette IoT-apparaten – zal naar verwachting meer dan verdubbelen tot 36.8 miljard in 2025, vergeleken met 17.7 miljard in 2020, volgens Juniper Research.
En terwijl het National Institute of Standards and Technology (NIST) een standaard heeft vastgesteld voor versleutelen van IoT-communicatie, blijven veel apparaten kwetsbaar en ongepatcht.
Akuvox is de nieuwste in een lange reeks hiervan die ernstig tekortschieten als het gaat om apparaatbeveiliging. Zo was er een kritieke RCE-kwetsbaarheid in Hikvision IP-videocamera's vorig jaar onthuld.
En afgelopen november zorgde een kwetsbaarheid in een reeks populaire digitale deurintercomsystemen van Aiphone ervoor dat hackers dat konden de toegangssystemen doorbreken — gewoon door gebruik te maken van een mobiel apparaat en een NFC-tag (Near Field Communication).
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.darkreading.com/cloud/unpatched-zero-day-bugs-smart-intercom-remote-eavesdropping
- :is
- $UP
- 1
- 2020
- 2022
- 7
- 8
- 9
- a
- in staat
- Over
- toegang
- geraadpleegde
- Volgens
- Account
- accounts
- Activering
- actoren
- adviserend
- Na
- agentschap
- Het toestaan
- toestaat
- alleen
- al
- en
- en infrastructuur
- android
- Nog een
- gebruiken
- ZIJN
- GEBIED
- AS
- geassocieerd
- At
- aanvallen
- pogingen
- aandacht
- authenticatie
- machtiging
- gebaseerde
- BE
- Begin
- achter
- tussen
- Miljard
- geblokkeerd
- Blog
- brengen
- Bug
- bugs
- by
- Bellen
- camera
- camera's
- CAN
- in staat
- captures
- categorieën
- Centreren
- Chinese
- CISA
- code
- verzamelen
- Communicatie
- afstand
- Zorgen
- Verbinden
- gekoppeld blijven
- aangesloten apparaten
- aansluitingen
- onder controle te houden
- coördinatie
- Kern
- kon
- en je merk te creëren
- aangemaakt
- kritisch
- nieuwsgierigheid
- Cybersecurity
- Agentschap voor cyberbeveiliging en infrastructuurbeveiliging
- gegevens
- Standaard
- ingezet
- detaillering
- apparaat
- systemen
- anders
- digitaal
- ontdekt
- Verdeeld
- Deur
- deuren
- verdubbelen
- Download
- dozijn
- elk
- beide
- in staat stellen
- verzekeren
- Enterprise
- entree
- toegang
- Ether (ETH)
- Zelfs
- uitvoering
- verwacht
- extern
- Dien in
- firewall
- Stevig
- Voornaam*
- vast
- Voor
- gevonden
- oppompen van
- Vrijgevigheid
- Hackers
- Gemarkeerd
- http
- HTTPS
- afbeeldingen
- uitvoering
- in
- Inclusief
- in toenemende mate
- individueel
- industrieel
- informatie
- Infrastructuur
- instantie
- Instituut
- interactie
- Internet
- internet van dingen
- onderzoek
- betrokken zijn
- iOS
- iot
- iot apparaten
- IP
- kwestie
- IT
- HAAR
- Januari
- bekend
- laboratorium
- Achternaam*
- laatste
- Beperkt
- Lijn
- Lijst
- lokaal
- gelegen
- lang
- maken
- veel
- betekenis
- maatregel
- microfoon
- minimaal
- Mobile
- Applicatie voor de mobiele telefoon
- mobiel apparaat
- meer
- meest
- Multimedia
- nationaal
- netwerk
- netwerken
- NFC
- NIST
- November
- aantal
- of
- aangeboden
- Kantoor
- on
- EEN
- open
- open source
- organisatie
- organisaties
- anders-
- geschetst
- overtreffen
- het te bezitten.
- deelnemers
- bijzonder
- partijen
- Plato
- Plato gegevensintelligentie
- PlatoData
- Populair
- mogelijk
- protocol
- gepubliceerde
- opname
- blijven
- vanop
- verslag
- REST
- s
- veiligheid
- segment
- gevoelig
- -Series
- Sessie
- Gevestigd
- verscheidene
- moet
- eenvoudigweg
- slim
- geraffineerd
- bron
- staan
- standaard
- normen
- opgeslagen
- Hierop volgend
- Systems
- TAG
- doelen
- Technisch
- Technologie
- dat
- De
- hun
- Deze
- spullen
- Derde
- bedreiging
- drie
- Door
- naar
- Totaal
- overdracht
- Gedraaid
- types
- openen
- Gebruiker
- gebruikers
- Gebruik makend
- verkoper
- controleren
- Video
- kwetsbaarheden
- kwetsbaarheid
- Kwetsbaar
- web
- webserver
- GOED
- welke
- en
- Met
- binnen
- zonder
- wereld
- zephyrnet
- zero-day kwetsbaarheden