Um popular intercomunicador inteligente e videofone da empresa chinesa Akuvox, o E11, está repleto de mais de uma dúzia de vulnerabilidades, incluindo um bug crítico que permite a execução remota de código não autenticado (RCE).
Isso pode permitir que atores mal-intencionados acessem a rede de uma organização, roubem fotos ou vídeos capturados pelo dispositivo, controlem a câmera e o microfone ou até mesmo tranquem ou destranquem portas.
As vulnerabilidades foram descobertas e destacadas pela Team82 da empresa de segurança Claroty, que tomou conhecimento das fragilidades do aparelho ao se mudar para um escritório onde o E11 já havia sido instalado.
A curiosidade dos membros do Team82 sobre o dispositivo se transformou em uma investigação completa ao descobrirem 13 vulnerabilidades, que foram divididas em três categorias com base no vetor de ataque usado.
Os dois primeiros tipos podem ocorrer por meio de RCE na rede local ou por ativação remota da câmera e do microfone do E11, permitindo ao invasor coletar e exfiltrar gravações multimídia. O terceiro vetor de ataque tem como alvo o acesso a um servidor externo e inseguro de protocolo de transferência de arquivos (FTP), permitindo ao ator baixar imagens e dados armazenados.
Um bug RCE crítico no Akuvox 311
No que diz respeito aos bugs que mais se destacam, uma ameaça crítica - CVE-2023-0354, com uma pontuação CVSS de 9.1 — permite que o servidor da Web E11 seja acessado sem qualquer autenticação do usuário, potencialmente dando a um invasor acesso fácil a informações confidenciais.
“O servidor Web Akuvox E11 pode ser acessado sem qualquer autenticação de usuário, e isso pode permitir que um invasor acesse informações confidenciais, bem como crie e baixe capturas de pacotes com URLs padrão conhecidos”, de acordo com a Agência de Segurança Cibernética e de Infraestrutura (CISA). , que publicou um comunicado sobre os bugs, incluindo um visão geral da vulnerabilidade.
Outra vulnerabilidade digna de nota (CVE-2023-0348, com uma pontuação CVSS de 7.5) diz respeito ao aplicativo móvel SmartPlus que os usuários de iOS e Android podem baixar para interagir com o E11.
A questão central está na implementação do protocolo de início de sessão (SIP) de código aberto no aplicativo para permitir a comunicação entre dois ou mais participantes em redes IP. O servidor SIP não verifica a autorização dos usuários do SmartPlus para se conectar a um determinado E11, ou seja, qualquer indivíduo com o aplicativo instalado pode se conectar a qualquer E11 conectado à Web — inclusive aqueles localizados atrás de um firewall.
“Testamos isso usando o interfone do nosso laboratório e outro na entrada do escritório”, segundo o relatório da Claroty. "Cada intercomunicador está associado a contas e partes diferentes. Na verdade, conseguimos ativar a câmera e o microfone fazendo uma chamada SIP da conta do laboratório para o intercomunicador na porta."
Vulnerabilidades de segurança Akuvox permanecem sem correção
Team82 descreveu suas tentativas de chamar a atenção do Akuvox para as vulnerabilidades, a partir de janeiro de 2022, mas após várias tentativas de divulgação, a conta da Claroty com o fornecedor foi bloqueada. Posteriormente, o Team82 publicou um blog técnico detalhando as vulnerabilidades de dia zero e envolveu o Centro de Coordenação CERT (CERT/CC) e o CISA.
As organizações que usam o E11 são aconselhadas a desconectá-lo da Internet até que as vulnerabilidades sejam corrigidas ou, de outra forma, garantir que a câmera não seja capaz de gravar informações confidenciais.
Dentro da rede local, “as organizações são aconselhadas a segmentar e isolar o dispositivo Akuvox do resto da rede corporativa”, de acordo com o relatório da Claroty. "Não apenas o dispositivo deve residir em seu próprio segmento de rede, mas a comunicação com esse segmento deve ser limitada a uma lista mínima de terminais."
Bugs em câmeras e dispositivos IoT são abundantes
Um mundo de dispositivos cada vez mais conectados criou uma vasta superfície de ataque para adversários sofisticados.
Espera-se que apenas o número de conexões industriais da Internet das coisas (IoT) - uma medida do número total de dispositivos IoT implantados - mais do que dobre para 36.8 bilhões em 2025, contra 17.7 bilhões em 2020, de acordo com a Juniper Research.
E enquanto o Instituto Nacional de Padrões e Tecnologia (NIST) estabeleceu um padrão para criptografando comunicações IoT, muitos dispositivos permanecem vulneráveis e sem patches.
O Akuvox é o mais recente de uma longa linha que apresenta falhas severas quando se trata de segurança do dispositivo. Por exemplo, uma vulnerabilidade RCE crítica em câmeras de vídeo Hikvision IP foi divulgado ano passado.
E em novembro passado, uma vulnerabilidade em uma série de sistemas populares de entrada de porta digital oferecidos pela Aiphone permitiu que os hackers violar os sistemas de entrada — simplesmente utilizando um dispositivo móvel e uma tag de comunicação de campo próximo (NFC).
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
- Fonte: https://www.darkreading.com/cloud/unpatched-zero-day-bugs-smart-intercom-remote-eavesdropping
- :é
- $UP
- 1
- 2020
- 2022
- 7
- 8
- 9
- a
- Capaz
- Sobre
- Acesso
- acessadas
- Segundo
- Conta
- Contas
- ativação
- atores
- consultivo
- Depois de
- agência
- Permitindo
- permite
- sozinho
- já
- e
- e infra-estrutura
- andróide
- Outro
- app
- SOMOS
- ÁREA
- AS
- associado
- At
- ataque
- Tentativas
- por WhatsApp.
- Autenticação
- autorização
- baseado
- BE
- Começo
- atrás
- entre
- bilhão
- bloqueado
- BLOG
- trazer
- Bug
- erros
- by
- chamada
- Câmera
- câmeras
- CAN
- capaz
- capturas
- Categorias
- Centralização de
- chinês
- CISA
- código
- coletar
- Comunicação
- Empresa
- Preocupações
- CONTATE-NOS
- conectado
- Dispositivos conectados
- Coneções
- ao controle
- coordenação
- núcleo
- poderia
- crio
- criado
- crítico
- curiosidade
- Cíber segurança
- Agência de segurança cibernética e segurança de infraestrutura
- dados,
- Padrão
- implantado
- Detalhamento
- dispositivo
- Dispositivos/Instrumentos
- diferente
- digital
- descoberto
- dividido
- Porta
- portas
- duplo
- download
- dúzia
- cada
- ou
- permitir
- garantir
- Empreendimento
- entrada
- entrada
- Éter (ETH)
- Mesmo
- execução
- esperado
- externo
- Envie o
- firewall
- Empresa
- Primeiro nome
- fixado
- Escolha
- encontrado
- da
- Dando
- hackers
- Destaque
- http
- HTTPS
- imagens
- implementação
- in
- Incluindo
- cada vez mais
- Individual
- industrial
- INFORMAÇÕES
- Infraestrutura
- instância
- Instituto
- interagir
- Internet
- internet das coisas
- investigação
- envolvido
- iOS
- iot
- dispositivos muito
- IP
- emitem
- IT
- ESTÁ
- janeiro
- conhecido
- laboratório
- Sobrenome
- mais recente
- Limitado
- Line
- Lista
- local
- localizado
- longo
- Fazendo
- muitos
- significado
- a medida
- microfone
- mínimo
- Móvel Esteira
- Aplicativo móvel
- dispositivo móvel
- mais
- a maioria
- Vídeos
- Nacional
- rede
- redes
- NFC
- nist
- Novembro
- número
- of
- oferecido
- Office
- on
- ONE
- aberto
- open source
- organização
- organizações
- de outra forma
- delineado
- alcance
- próprio
- participantes
- particular
- partes
- platão
- Inteligência de Dados Platão
- PlatãoData
- Popular
- potencialmente
- protocolo
- publicado
- gravação
- permanecem
- remoto
- Denunciar
- DESCANSO
- s
- segurança
- segmento
- sensível
- Série
- Sessão
- Liquidado
- vários
- rede de apoio social
- simplesmente
- smart
- sofisticado
- fonte
- suporte
- padrão
- padrões
- armazenadas
- Subseqüentemente
- sistemas
- TAG
- tem como alvo
- Dados Técnicos:
- Equipar
- que
- A
- deles
- Este
- coisas
- Terceiro
- ameaça
- três
- Através da
- para
- Total
- transferência
- Virado
- tipos
- destravar
- Utilizador
- usuários
- Utilizando
- fornecedor
- verificar
- Vídeo
- vulnerabilidades
- vulnerabilidade
- Vulnerável
- web
- servidor web
- BEM
- qual
- enquanto
- com
- dentro
- sem
- mundo
- zefirnet
- vulnerabilidades de dia zero