En populär smart intercom och videotelefon från det kinesiska företaget Akuvox, E11, är full av mer än ett dussin sårbarheter, inklusive en kritisk bugg som tillåter oautentiserad fjärrkörning av kod (RCE).
Dessa kan tillåta illvilliga aktörer att komma åt en organisations nätverk, stjäla foton eller video som tagits med enheten, kontrollera kameran och mikrofonen eller till och med låsa eller låsa upp dörrar.
Sårbarheterna upptäcktes och lyftes fram av säkerhetsföretaget Claroty's Team82, som blev medvetna om enhetens svagheter när de flyttade in i ett kontor där E11 redan hade installerats.
Medlemmar i Team82:s nyfikenhet om enheten förvandlades till en fullständig undersökning då de upptäckte 13 sårbarheter, som de delade in i tre kategorier baserat på den attackvektor som användes.
De två första typerna kan uppstå antingen genom RCE inom det lokala nätverket eller fjärraktivering av E11:s kamera och mikrofon, vilket gör att angriparen kan samla in och exfiltrera multimediainspelningar. Den tredje attackvektorn är inriktad på åtkomst till en extern, osäker FTP-server (File Transfer Protocol), vilket gör att skådespelaren kan ladda ner lagrade bilder och data.
En kritisk RCE-bugg i Akuvox 311
När det gäller buggar som sticker ut mest, ett kritiskt hot — CVE-2023-0354, med ett CVSS-poäng på 9.1 — gör att E11-webbservern kan nås utan någon användarverifiering, vilket potentiellt ger en angripare enkel tillgång till känslig information.
"Akuvox E11-webbservern kan nås utan användarverifiering, och detta kan tillåta en angripare att komma åt känslig information, samt skapa och ladda ner paketfångningar med kända standard-URL:er", enligt Cybersecurity and Infrastructure Security Agency (CISA) , som publicerade ett råd om buggarna, inklusive en sårbarhetsöversikt.
En annan sårbarhet att notera (CVE-2023-0348, med ett CVSS-poäng på 7.5) gäller SmartPlus-mobilappen som iOS- och Android-användare kan ladda ner för att interagera med E11.
Kärnfrågan ligger i appens implementering av Session Initiation Protocol (SIP) med öppen källkod för att möjliggöra kommunikation mellan två eller flera deltagare över IP-nätverk. SIP-servern verifierar inte SmartPlus-användares behörighet att ansluta till en viss E11, vilket innebär att alla personer med appen installerad kan ansluta till vilken E11 som helst som är ansluten till webben – inklusive de som finns bakom en brandvägg.
"Vi testade detta med intercom i vårt labb och en annan vid kontorets entré", enligt Claroty-rapporten. "Varje porttelefon är förknippad med olika konton och olika parter. Vi kunde faktiskt aktivera kameran och mikrofonen genom att ringa ett SIP-samtal från labbets konto till porttelefonen vid dörren."
Akuvox säkerhetssårbarheter förblir okorrigerade
Team82 beskrev sina försök att uppmärksamma Akuvox på sårbarheterna, med början i januari 2022, men efter flera uppsökande försök blockerades Clarotys konto hos leverantören. Team82 publicerade därefter en teknisk blogg som beskriver nolldagssårbarheterna och involverade CERT Coordination Center (CERT/CC) och CISA.
Organisationer som använder E11 rekommenderas att koppla bort den från Internet tills sårbarheterna är åtgärdade, eller att på annat sätt säkerställa att kameran inte kan spela in känslig information.
Inom det lokala nätverket, "råds organisationer att segmentera och isolera Akuvox-enheten från resten av företagsnätverket", enligt Claroty-rapporten. "Inte bara bör enheten ligga på sitt eget nätverkssegment, utan kommunikationen till detta segment bör begränsas till en minimal lista med slutpunkter."
Det finns många buggar i kameror och IoT-enheter
En värld av allt mer uppkopplade enheter har skapat en stor attackyta för sofistikerade motståndare.
Enbart antalet industriella Internet of things-anslutningar (IoT) – ett mått på antalet totala IoT-enheter som distribueras – förväntas mer än fördubblas till 36.8 miljarder år 2025, upp från 17.7 miljarder år 2020, enligt Juniper Research.
Och medan National Institute of Standards and Technology (NIST) har fastställt en standard för kryptera IoT-kommunikation, många enheter förblir sårbara och oparpade.
Akuvox är den senaste i en lång rad av dessa som befunnits vara allvarligt bristfälliga när det gäller enhetssäkerhet. Till exempel var en kritisk RCE-sårbarhet i Hikvision IP-videokameror avslöjades förra året.
Och i november förra året tillät en sårbarhet i en serie populära digitala dörrsystem som erbjuds av Aiphone hackare att bryta mot inträdessystemen — helt enkelt genom att använda en mobil enhet och en NFC-tagg (närfältskommunikation).
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://www.darkreading.com/cloud/unpatched-zero-day-bugs-smart-intercom-remote-eavesdropping
- :är
- $UPP
- 1
- 2020
- 2022
- 7
- 8
- 9
- a
- Able
- Om oss
- tillgång
- Accessed
- Enligt
- Konto
- konton
- aktivering
- aktörer
- rådgivande
- Efter
- byrå
- tillåta
- tillåter
- ensam
- redan
- och
- och infrastruktur
- android
- Annan
- app
- ÄR
- OMRÅDE
- AS
- associerad
- At
- attackera
- Försök
- uppmärksamhet
- Autentisering
- tillstånd
- baserat
- BE
- Börjar
- bakom
- mellan
- Miljarder
- blockerad
- Blogg
- föra
- Bug
- fel
- by
- Ring
- rum
- kameror
- KAN
- kapabel
- fångar
- kategorier
- Centrum
- kinesisk
- CISA
- koda
- samla
- Kommunikation
- företag
- oro
- Kontakta
- anslutna
- anslutna enheter
- Anslutningar
- kontroll
- samordning
- Kärna
- kunde
- skapa
- skapas
- kritisk
- nyfikenhet
- Cybersäkerhet
- Byrån för cybersäkerhet och infrastruktur
- datum
- Standard
- utplacerade
- detailing
- anordning
- enheter
- olika
- digital
- upptäckt
- dividerat
- Dörr
- Dörrarna
- dubbla
- ladda ner
- dussin
- varje
- antingen
- möjliggöra
- säkerställa
- Företag
- ingång
- inträde
- Eter (ETH)
- Även
- utförande
- förväntat
- extern
- Fil
- brandvägg
- Firm
- Förnamn
- fixerad
- För
- hittade
- från
- Ge
- hackare
- Markerad
- http
- HTTPS
- bilder
- genomförande
- in
- Inklusive
- alltmer
- individuellt
- industriell
- informationen
- Infrastruktur
- exempel
- Institute
- interagera
- Internet
- sakernas Internet
- Undersökningen
- involverade
- iOS
- iot
- iot enheter
- IP
- fråga
- IT
- DESS
- Januari
- känd
- lab
- Efternamn
- senaste
- Begränsad
- linje
- Lista
- lokal
- belägen
- Lång
- Framställning
- många
- betyder
- mäta
- mikrofon
- minimum
- Mobil
- Mobil app
- mobilenhet
- mer
- mest
- multimedia
- nationell
- nät
- nätverk
- NFC
- NIST
- November
- antal
- of
- erbjuds
- Office
- on
- ONE
- öppet
- öppen källkod
- organisation
- organisationer
- annat
- skisse
- uppsökande
- egen
- deltagare
- särskilt
- parter
- plato
- Platon Data Intelligence
- PlatonData
- Populära
- potentiellt
- protokoll
- publicerade
- inspelning
- förblir
- avlägsen
- rapport
- REST
- s
- säkerhet
- segmentet
- känslig
- Serier
- session
- Fast
- flera
- skall
- helt enkelt
- smarta
- sofistikerade
- Källa
- stå
- standard
- standarder
- lagras
- Senare
- System
- MÄRKA
- mål
- Teknisk
- Teknologi
- den där
- Smakämnen
- deras
- Dessa
- saker
- Tredje
- hot
- tre
- Genom
- till
- Totalt
- överföring
- vände
- typer
- låsa
- Användare
- användare
- Använda
- leverantör
- verifiera
- Video
- sårbarheter
- sårbarhet
- Sårbara
- webb
- webbserver
- VÄL
- som
- medan
- med
- inom
- utan
- världen
- zephyrnet
- nolldagars sårbarheter