Popularny inteligentny domofon i wideofon chińskiej firmy Akuvox, E11, jest pełen kilkunastu luk, w tym krytycznego błędu, który umożliwia nieuwierzytelnione zdalne wykonanie kodu (RCE).
Mogą one umożliwić złośliwym aktorom dostęp do sieci organizacji, kradzież zdjęć lub filmów zarejestrowanych przez urządzenie, sterowanie kamerą i mikrofonem, a nawet zablokowanie lub odblokowanie drzwi.
Luki zostały odkryte i podkreślone przez firmę zajmującą się bezpieczeństwem Claroty's Team82, która dowiedziała się o słabościach urządzenia po przeprowadzce do biura, w którym zainstalowano już E11.
Ciekawość członków zespołu Team82 na temat urządzenia przerodziła się w pełnowymiarowe dochodzenie, gdy odkryli 13 luk w zabezpieczeniach, które podzielili na trzy kategorie w oparciu o zastosowany wektor ataku.
Pierwsze dwa typy mogą nastąpić albo poprzez RCE w sieci lokalnej, albo poprzez zdalną aktywację kamery i mikrofonu E11, umożliwiając atakującemu gromadzenie i wydobywanie nagrań multimedialnych. Celem trzeciego wektora ataku jest dostęp do zewnętrznego, niebezpiecznego serwera protokołu przesyłania plików (FTP), umożliwiającego aktorowi pobieranie przechowywanych obrazów i danych.
Krytyczny błąd RCE w Akuvox 311
Jeśli chodzi o błędy, które najbardziej się wyróżniają, jedno krytyczne zagrożenie — CVE-2023-0354, z wynikiem CVSS 9.1 — umożliwia dostęp do serwera WWW E11 bez uwierzytelniania użytkownika, co potencjalnie daje atakującemu łatwy dostęp do poufnych informacji.
„Do serwera internetowego Akuvox E11 można uzyskać dostęp bez konieczności uwierzytelniania użytkownika, co może umożliwić osobie atakującej dostęp do poufnych informacji, a także tworzenie i pobieranie przechwytywanych pakietów ze znanymi domyślnymi adresami URL” – twierdzi Agencja ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) , która opublikowała poradę dotyczącą błędów, zawierającą m.in przegląd luk w zabezpieczeniach.
Kolejna luka w zabezpieczeniach (CVE-2023-0348, z wynikiem CVSS 7.5) dotyczy aplikacji mobilnej SmartPlus, którą użytkownicy systemów iOS i Android mogą pobrać w celu interakcji z E11.
Podstawowym problemem jest implementacja protokołu Session Initiation Protocol (SIP) o otwartym kodzie źródłowym, który umożliwia komunikację między dwoma lub większą liczbą uczestników za pośrednictwem sieci IP. Serwer SIP nie weryfikuje autoryzacji użytkowników SmartPlus do łączenia się z konkretnym telefonem E11, co oznacza, że każda osoba posiadająca zainstalowaną aplikację może połączyć się z dowolnym telefonem E11 podłączonym do Internetu – także z urządzeniami znajdującymi się za zaporą sieciową.
„Przetestowaliśmy to, korzystając z domofonu w naszym laboratorium i drugiego przy wejściu do biura” – wynika z raportu Claroty. „Każdy domofon jest powiązany z różnymi kontami i różnymi stronami. W rzeczywistości mogliśmy aktywować kamerę i mikrofon, wykonując połączenie SIP z konta laboratorium do domofonu przy drzwiach”.
Luki w zabezpieczeniach Akuvox pozostają niezałatane
Zespół Team82 przedstawił swoje próby zwrócenia uwagi firmy Akuvox na luki w zabezpieczeniach, które rozpoczęły się w styczniu 2022 r., ale po kilku próbach skontaktowania się z firmą, konto Claroty'ego u dostawcy zostało zablokowane. Następnie Team82 opublikował blog techniczny szczegółowo opisujący luki dnia zerowego i zaangażował Centrum Koordynacji CERT (CERT/CC) i CISA.
Zaleca się organizacjom korzystającym z E11 odłączenie go od Internetu do czasu usunięcia luk w zabezpieczeniach lub upewnienie się, że kamera nie jest w stanie rejestrować poufnych informacji.
Jak wynika z raportu Claroty, w sieci lokalnej „organizacjom zaleca się segmentację i odizolowanie urządzenia Akuvox od reszty sieci korporacyjnej”. „Urządzenie powinno nie tylko znajdować się we własnym segmencie sieci, ale komunikacja z tym segmentem powinna ograniczać się do minimalnej listy punktów końcowych”.
Mnóstwo błędów w kamerach i urządzeniach IoT
Świat coraz bardziej połączonych urządzeń stworzył rozległa powierzchnia ataku dla wyrafinowanych przeciwników.
Oczekuje się, że sama liczba przemysłowych połączeń Internetu rzeczy (IoT) — miara liczby wszystkich wdrożonych urządzeń IoT — wzrośnie ponad dwukrotnie do 36.8 miliarda w 2025 r., w porównaniu z 17.7 miliarda w 2020 r., według badań Juniper.
I chociaż Narodowy Instytut Standardów i Technologii (NIST) ustalił standard dla szyfrowanie komunikacji IoT, wiele urządzeń pozostaje podatnych na ataki i nie ma poprawek.
Akuvox jest najnowszym z długiej listy tych, których poważnie brakuje, jeśli chodzi o bezpieczeństwo urządzeń. Na przykład krytyczną luką RCE w kamerach wideo Hikvision IP była ujawniony w zeszłym roku.
W listopadzie zeszłego roku luka w serii popularnych cyfrowych systemów domofonowych oferowanych przez firmę Aiphone umożliwiła hakerom włamać się do systemów wejściowych — po prostu za pomocą urządzenia mobilnego i znacznika komunikacji bliskiego zasięgu (NFC).
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://www.darkreading.com/cloud/unpatched-zero-day-bugs-smart-intercom-remote-eavesdropping
- :Jest
- $W GÓRĘ
- 1
- 2020
- 2022
- 7
- 8
- 9
- a
- Zdolny
- O nas
- dostęp
- dostęp
- Stosownie
- Konto
- Konta
- Aktywacja
- aktorzy
- doradczy
- Po
- agencja
- Pozwalać
- pozwala
- sam
- już
- i
- i infrastruktura
- android
- Inne
- Aplikacja
- SĄ
- POWIERZCHNIA
- AS
- powiązany
- At
- atakować
- Próby
- Uwaga
- Uwierzytelnianie
- autoryzacja
- na podstawie
- BE
- Początek
- za
- pomiędzy
- Miliard
- zablokowany
- Blog
- przynieść
- Bug
- błędy
- by
- wezwanie
- aparat fotograficzny
- kamery
- CAN
- zdolny
- przechwytuje
- kategorie
- Centrum
- chiński
- CISA
- kod
- zbierać
- Komunikacja
- sukcesy firma
- Obawy
- Skontaktuj się
- połączony
- Podłączonych urządzeń
- połączenia
- kontrola
- koordynacja
- rdzeń
- mógłby
- Stwórz
- stworzony
- krytyczny
- ciekawość
- Bezpieczeństwo cybernetyczne
- Agencja ds. Bezpieczeństwa cybernetycznego i bezpieczeństwa infrastruktury
- dane
- Domyślnie
- wdrażane
- Detailing
- urządzenie
- urządzenia
- różne
- cyfrowy
- odkryty
- podzielony
- Drzwi
- Drzwi
- Podwójna
- pobieranie
- tuzin
- każdy
- bądź
- umożliwiać
- zapewnić
- Enterprise
- wejście
- wejście
- Eter (ETH)
- Parzyste
- egzekucja
- spodziewany
- zewnętrzny
- filet
- zapora
- Firma
- i terminów, a
- ustalony
- W razie zamówieenia projektu
- znaleziono
- od
- Dający
- hakerzy
- Podświetlony
- http
- HTTPS
- zdjęcia
- realizacja
- in
- Włącznie z
- coraz bardziej
- indywidualny
- przemysłowy
- Informacja
- Infrastruktura
- przykład
- Instytut
- interakcji
- Internet
- Internet przedmiotów
- śledztwo
- zaangażowany
- iOS
- Internet przedmiotów
- urządzenia iot
- IP
- problem
- IT
- JEGO
- styczeń
- znany
- laboratorium
- Nazwisko
- firmy
- Ograniczony
- Linia
- Lista
- miejscowy
- usytuowany
- długo
- Dokonywanie
- wiele
- znaczenie
- zmierzyć
- mikrofon
- minimalny
- Aplikacje mobilne
- Aplikacja mobilna
- urządzenie przenośne
- jeszcze
- większość
- multimedialny
- narodowy
- sieć
- sieci
- NFC
- nist
- listopad
- numer
- of
- oferowany
- Biurowe
- on
- ONE
- koncepcja
- open source
- organizacja
- organizacji
- Inaczej
- opisane
- zasięg
- własny
- Uczestnicy
- szczególny
- strony
- plato
- Analiza danych Platona
- PlatoDane
- Popularny
- potencjalnie
- protokół
- opublikowany
- nagranie
- pozostawać
- zdalny
- raport
- REST
- s
- bezpieczeństwo
- segment
- wrażliwy
- Serie
- Sesja
- Osiadły
- kilka
- powinien
- po prostu
- mądry
- wyrafinowany
- Źródło
- stoisko
- standard
- standardy
- przechowywany
- Następnie
- systemy
- TAG
- cele
- Techniczny
- Technologia
- że
- Połączenia
- ich
- Te
- rzeczy
- Trzeci
- groźba
- trzy
- Przez
- do
- Kwota produktów:
- przenieść
- Obrócony
- typy
- odblokować
- Użytkownik
- Użytkownicy
- Wykorzystując
- sprzedawca
- zweryfikować
- Wideo
- Luki w zabezpieczeniach
- wrażliwość
- Wrażliwy
- sieć
- serwer wWW
- DOBRZE
- który
- Podczas
- w
- w ciągu
- bez
- świat
- zefirnet
- podatności na zero dni