Популярный смарт-домофон и видеотелефон от китайской компании Akuvox E11 пронизан более чем дюжиной уязвимостей, в том числе критической ошибкой, позволяющей выполнять удаленное выполнение кода без проверки подлинности (RCE).
These could allow malicious actors to access an organization's network, steal photos or video captured by the device, control the camera and microphone, or even lock or unlock doors.
The vulnerabilities were discovered and highlighted by security firm Claroty's Team82, which became aware of the device's weaknesses when they moved into an office where the E11 had already been installed.
Members of Team82's curiosity about the device turned into a full-blown investigation as they uncovered 13 vulnerabilities, which they divided into three categories based on the attack vector used.
The first two types can occur either through RCE within the local area network or remote activation of the E11's camera and microphone, allowing the attacker to collect and exfiltrate multimedia recordings. The third attack vector targets access to an external, insecure file transfer protocol (FTP) server, allowing the actor to download stored images and data.
Критическая ошибка RCE в Akuvox 311
Что касается ошибок, которые выделяются больше всего, одна критическая угроза — CVE-2023-0354, с оценкой CVSS 9.1 — позволяет получить доступ к веб-серверу E11 без какой-либо аутентификации пользователя, потенциально предоставляя злоумышленнику легкий доступ к конфиденциальной информации.
"The Akuvox E11 Web server can be accessed without any user authentication, and this could allow an attacker to access sensitive information, as well as create and download packet captures with known default URLs," according to the Cybersecurity and Infrastructure Security Agency (CISA), which published an advisory about the bugs, including a обзор уязвимостей.
Еще одна примечательная уязвимость (CVE-2023-0348, с оценкой CVSS 7.5) касается мобильного приложения SmartPlus, которое пользователи iOS и Android могут загрузить для взаимодействия с E11.
The core issue lies in the app's implementation of the open source Session Initiation Protocol (SIP) to enable communication between two or more participants over IP networks. The SIP server does not verify the authorization of SmartPlus users to connect to a particular E11, meaning any individual with the app installed can connect to any E11 connected to the Web — including those located behind a firewall.
"We tested this using the intercom at our lab and another one at the office entrance," according to the Claroty report. "Each intercom is associated with different accounts and different parties. We were, in fact, able to activate the camera and microphone by making a SIP call from the lab's account to the intercom at the door."
Уязвимости Akuvox Security остаются неисправленными
Team82 outlined their attempts to bring the vulnerabilities to the Akuvox's attention, beginning in January 2022, but after several outreach attempts, Claroty's account with the vendor was blocked. Team82 subsequently published a technical blog detailing the zero-day vulnerabilities and involved the CERT Coordination Center (CERT/CC) and CISA.
Организациям, использующим E11, рекомендуется отключить его от Интернета до тех пор, пока уязвимости не будут устранены, или иным образом убедиться, что камера не может записывать конфиденциальную информацию.
Within the local area network, "organizations are advised to segment and isolate the Akuvox device from the rest of the enterprise network," according to the Claroty report. "Not only should the device reside on its own network segment, but communication to this segment should be limited to a minimal list of endpoints."
Ошибки в камерах и устройствах IoT изобилуют
Мир все более подключенных устройств создал обширная поверхность атаки для изощренных противников.
Ожидается, что количество подключений только к промышленному Интернету вещей (IoT) — показатель общего количества развернутых устройств IoT — более чем удвоится до 36.8 млрд в 2025 году по сравнению с 17.7 млрд в 2020 году. по данным Juniper Research.
И хотя Национальный институт стандартов и технологий (NIST) установил стандарт для шифрование IoT-коммуникаций, многие устройства остаются уязвимыми и не исправлены.
Akuvox является последним в длинной линейке продуктов, которым явно недостает безопасности устройства. Например, была обнаружена критическая RCE-уязвимость в IP-видеокамерах Hikvision. раскрыто в прошлом году.
А в ноябре прошлого года уязвимость в ряде популярных цифровых домофонов, предлагаемых Aiphone, позволила хакерам взламывать системы входа — просто используя мобильное устройство и метку связи ближнего радиуса действия (NFC).
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://www.darkreading.com/cloud/unpatched-zero-day-bugs-smart-intercom-remote-eavesdropping
- :является
- $UP
- 1
- 2020
- 2022
- 7
- 8
- 9
- a
- в состоянии
- О нас
- доступ
- Доступ
- По
- Учетная запись
- Учетные записи
- Активация
- актеры
- консультативный
- После
- агентство
- Позволяющий
- позволяет
- в одиночестве
- уже
- и
- и инфраструктура
- android
- Другой
- приложение
- МЫ
- ПЛОЩАДЬ
- AS
- связанный
- At
- атаковать
- попытки
- внимание
- Аутентификация
- разрешение
- основанный
- BE
- начало
- за
- между
- миллиард
- заблокировал
- Блог
- приносить
- Ошибка
- ошибки
- by
- призывают
- камера
- камеры
- CAN
- способный
- перехватывает
- категории
- Центр
- китайский
- CISA
- код
- собирать
- Связь
- Компания
- Обеспокоенность
- Свяжитесь
- подключенный
- Подключенные устройства
- Коммутация
- контроль
- координация
- Основные
- может
- Создайте
- создали
- критической
- любопытство
- Информационная безопасность
- Агентство кибербезопасности и безопасности инфраструктуры
- данным
- По умолчанию
- развернуть
- Детализация
- устройство
- Устройства
- различный
- Интернет
- открытый
- Разделенный
- Двери
- Двери
- двойной
- скачать
- дюжина
- каждый
- или
- включить
- обеспечивать
- Предприятие
- Прихожая
- запись
- Эфир (ETH)
- Даже
- выполнение
- ожидаемый
- и, что лучший способ
- Файл
- брандмауэр
- Фирма
- First
- фиксированной
- Что касается
- найденный
- от
- Отдаете
- Хакеры
- Выделенные
- HTTP
- HTTPS
- изображений
- реализация
- in
- В том числе
- все больше и больше
- individual
- промышленность
- информация
- Инфраструктура
- пример
- Институт
- взаимодействовать
- Интернет
- Интернет вещей
- ходе расследования,
- вовлеченный
- iOS
- КАТО
- несколько устройств
- IP
- вопрос
- IT
- ЕГО
- январь
- известный
- лаборатория
- Фамилия
- последний
- Ограниченный
- линия
- Список
- локальным
- расположенный
- Длинное
- Создание
- многих
- смысл
- проводить измерение
- микрофон
- минимальный
- Мобильный телефон
- Мобильное приложение
- мобильное устройство
- БОЛЕЕ
- самых
- Мультимедиа
- национальный
- сеть
- сетей
- NFC
- NIST
- Ноябрь
- номер
- of
- предложенный
- Офис
- on
- ONE
- открытый
- с открытым исходным кодом
- организация
- организации
- в противном случае
- изложенные
- аутрич
- собственный
- новыми участниками
- особый
- Стороны
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Популярное
- потенциально
- протокол
- опубликованный
- запись
- оставаться
- удаленные
- отчету
- ОТДЫХ
- s
- безопасность
- сегмент
- чувствительный
- Серии
- Сессия
- Стабильный
- несколько
- должен
- просто
- умный
- сложный
- Источник
- стоять
- стандарт
- стандартов
- хранить
- впоследствии
- системы
- TAG
- направлена против
- Технический
- Технологии
- который
- Ассоциация
- их
- Эти
- вещи
- В третьих
- угроза
- три
- Через
- в
- Всего
- перевод
- Оказалось
- Типы
- отпереть
- Информация о пользователе
- пользователей
- Использующий
- продавец
- проверить
- Видео
- Уязвимости
- уязвимость
- Уязвимый
- Web
- веб-сервер
- ЧТО Ж
- который
- в то время как
- в
- без
- Мир
- зефирнет
- уязвимости нулевого дня