Çinli şirket Akuvox'un popüler bir akıllı interkom ve görüntülü telefonu olan E11, kimliği doğrulanmamış uzaktan kod yürütülmesine (RCE) izin veren kritik bir hata da dahil olmak üzere bir düzineden fazla güvenlik açığıyla dolu.
Bunlar, kötü niyetli aktörlerin bir kuruluşun ağına erişmesine, cihaz tarafından çekilen fotoğrafları veya videoları çalmasına, kamerayı ve mikrofonu kontrol etmesine ve hatta kapıları kilitlemesine veya kilidini açmasına olanak tanıyabilir.
Güvenlik açıkları, E82'in halihazırda kurulu olduğu bir ofise taşındıklarında cihazın zayıf yönlerinin farkına varan güvenlik firması Claroty's Team11 tarafından keşfedildi ve vurgulandı.
Team82 üyelerinin cihaza olan merakı, kullanılan saldırı vektörüne göre üç kategoriye ayırdıkları 13 güvenlik açığını ortaya çıkararak kapsamlı bir araştırmaya dönüştü.
İlk iki tür, yerel alan ağı içindeki RCE yoluyla ya da E11'in kamera ve mikrofonunun uzaktan etkinleştirilmesi yoluyla meydana gelebilir ve saldırganın multimedya kayıtlarını toplayıp sızdırmasına olanak tanır. Üçüncü saldırı vektörü, harici, güvenli olmayan bir dosya aktarım protokolü (FTP) sunucusuna erişimi hedefleyerek aktörün depolanan görüntüleri ve verileri indirmesine olanak tanır.
Akuvox 311'de Kritik Bir RCE Hatası
En çok öne çıkan hatalara gelince, kritik bir tehdit — CVE-2023-0354, CVSS puanı 9.1 olan — E11 Web sunucusuna herhangi bir kullanıcı kimlik doğrulaması olmadan erişilmesine izin vererek potansiyel olarak bir saldırganın hassas bilgilere kolay erişmesini sağlar.
Siber Güvenlik ve Altyapı Güvenliği Ajansı'na (CISA) göre "Akuvox E11 Web sunucusuna herhangi bir kullanıcı kimlik doğrulaması olmadan erişilebilir ve bu, bir saldırganın hassas bilgilere erişmesine, ayrıca bilinen varsayılan URL'lerle paket yakalamaları oluşturup indirmesine olanak sağlayabilir." , hatalar hakkında bir tavsiye niteliğinde yayınlayan bir güvenlik açığına genel bakış.
Notun başka bir güvenlik açığı (CVE-2023-0348, CVSS puanı 7.5 olan), iOS ve Android kullanıcılarının E11 ile etkileşim kurmak için indirebilecekleri SmartPlus mobil uygulamasıyla ilgilidir.
Temel sorun, IP ağları üzerinden iki veya daha fazla katılımcı arasında iletişimi sağlamak için uygulamanın açık kaynaklı Oturum Başlatma Protokolünü (SIP) uygulamasında yatmaktadır. SIP sunucusu, SmartPlus kullanıcılarının belirli bir E11'e bağlanma yetkisini doğrulamaz; bu, uygulamayı yükleyen herhangi bir kişinin, güvenlik duvarının arkasında bulunanlar da dahil olmak üzere Web'e bağlı herhangi bir E11'e bağlanabileceği anlamına gelir.
Claroty raporuna göre "Bunu laboratuvarımızdaki ve ofis girişindeki diğer interkomu kullanarak test ettik." "Her dahili telefon sistemi farklı hesaplarla ve farklı taraflarla ilişkilidir. Aslında laboratuvarın hesabından kapıdaki dahili telefona bir SIP araması yaparak kamerayı ve mikrofonu etkinleştirebildik."
Akuvox Güvenlik Açıkları Yamasız Kalıyor
Team82, Ocak 2022'den başlayarak güvenlik açıklarını Akuvox'un dikkatine sunma girişimlerini özetledi, ancak birkaç sosyal yardım girişiminin ardından Claroty'nin satıcıdaki hesabı engellendi. Team82 daha sonra sıfır gün güvenlik açıklarını detaylandıran teknik bir blog yayınladı ve CERT Koordinasyon Merkezi (CERT/CC) ve CISA'yı dahil etti.
E11'i kullanan kuruluşlara, güvenlik açıkları giderilene kadar veya kameranın hassas bilgileri kaydedemeyeceğinden emin olmak için İnternet bağlantısını kesmeleri önerilir.
Claroty raporuna göre, yerel alan ağı içinde "kuruluşlara Akuvox cihazını kurumsal ağın geri kalanından ayırmaları ve izole etmeleri tavsiye ediliyor." "Cihaz yalnızca kendi ağ kesiminde bulunmamalı, aynı zamanda bu kesimle iletişim minimum sayıda uç nokta listesiyle sınırlı olmalıdır."
Kameralarda ve IoT Cihazlarında Çok Sayıda Hata Var
Giderek daha fazla birbirine bağlanan cihazların oluşturduğu bir dünya, geniş saldırı yüzeyi sofistike düşmanlar için.
Yalnızca endüstriyel nesnelerin interneti (IoT) bağlantılarının sayısının - konuşlandırılan toplam IoT cihazlarının sayısının bir ölçüsüdür - 36.8'de 2025 milyardan iki katına çıkarak 17.7'te 2020 milyara ulaşması bekleniyor. Juniper Research'e göre.
Ve Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) için bir standart üzerinde anlaşmaya varırken IoT iletişimini şifreleme, birçok cihaz savunmasız ve yamasız durumda.
Akuvox, cihaz güvenliği söz konusu olduğunda ciddi şekilde eksik olduğu tespit edilen uzun bir serinin en sonuncusudur. Örneğin, Hikvision IP video kameralardaki kritik bir RCE güvenlik açığı, geçen yıl açıklandı.
Ve geçen Kasım ayında, Aiphone tarafından sunulan bir dizi popüler dijital kapı giriş sistemindeki bir güvenlik açığı, bilgisayar korsanlarının giriş sistemlerini ihlal — sadece bir mobil cihaz ve bir yakın alan iletişimi (NFC) etiketi kullanarak.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
- Kaynak: https://www.darkreading.com/cloud/unpatched-zero-day-bugs-smart-intercom-remote-eavesdropping
- :dır-dir
- $UP
- 1
- 2020
- 2022
- 7
- 8
- 9
- a
- Yapabilmek
- Hakkımızda
- erişim
- erişilen
- Göre
- Hesap
- Hesaplar
- Etkinleştirme
- aktörler
- danışma
- Sonra
- ajans
- Izin
- veriyor
- tek başına
- zaten
- ve
- ve altyapı
- android
- Başka
- uygulamayı yükleyeceğiz
- ARE
- ALAN
- AS
- ilişkili
- At
- saldırı
- Denemeler
- Dikkat
- Doğrulama
- yetki
- merkezli
- BE
- Başlangıç
- arkasında
- arasında
- Milyar
- tıkalı
- Blog
- getirmek
- Böcek
- böcek
- by
- çağrı
- kamera
- Kameralar
- CAN
- yetenekli
- yakalar
- kategoriler
- Merkez
- Çince
- CISA
- kod
- toplamak
- Yakın İletişim
- şirket
- Endişeler
- Sosyal medya
- bağlı
- Bağlı cihazlar
- Bağlantılar
- kontrol
- koordinasyon
- çekirdek
- olabilir
- yaratmak
- çevrimiçi kurslar düzenliyorlar.
- kritik
- merak
- Siber güvenlik
- Siber Güvenlik ve Altyapı Güvenlik Ajansı
- veri
- Varsayılan
- konuşlandırılmış
- detaylandırma
- cihaz
- Cihaz
- farklı
- dijital
- keşfetti
- bölünmüş
- Kapı
- kapılar
- çift
- indir
- düzine
- her
- ya
- etkinleştirmek
- sağlamak
- kuruluş
- giriş
- giriş
- Eter (ETH)
- Hatta
- infaz
- beklenen
- dış
- fileto
- güvenlik duvarı
- Firma
- Ad
- sabit
- İçin
- bulundu
- itibaren
- Verilmesi
- hackerlar
- Vurgulanan
- http
- HTTPS
- görüntüleri
- uygulama
- in
- Dahil olmak üzere
- giderek
- bireysel
- Sanayi
- bilgi
- Altyapı
- örnek
- Enstitü
- etkileşim
- Internet
- bir şeylerin interneti
- soruşturma
- ilgili
- iOS
- IOT
- iot cihazları
- IP
- konu
- IT
- ONUN
- Ocak
- bilinen
- laboratuvar
- Soyad
- son
- Sınırlı
- çizgi
- Liste
- yerel
- bulunan
- Uzun
- Yapımı
- çok
- anlam
- ölçmek
- mikrofon
- en az
- Telefon
- Mobil uygulama
- mobil cihaz
- Daha
- çoğu
- Multimedia
- ulusal
- ağ
- ağlar
- NFC
- NiST
- Kasım
- numara
- of
- sunulan
- Office
- on
- ONE
- açık
- açık kaynak
- kuruluşlar
- organizasyonlar
- aksi takdirde
- özetlenen
- uzanma
- kendi
- Katılımcılar
- belirli
- partiler
- Platon
- Plato Veri Zekası
- PlatoVeri
- Popüler
- potansiyel
- protokol
- yayınlanan
- kayıt
- kalmak
- uzak
- rapor
- DİNLENME
- s
- güvenlik
- bölüm
- hassas
- Dizi
- Oturum
- Yerleşik
- birkaç
- meli
- sadece
- akıllı
- sofistike
- Kaynak
- durmak
- standart
- standartlar
- saklı
- Daha sonra
- Sistemler
- TAG
- hedefler
- Teknik
- Teknoloji
- o
- The
- ve bazı Asya
- Bunlar
- işler
- Üçüncü
- tehdit
- üç
- İçinden
- için
- Toplam
- transfer
- Dönük
- türleri
- kilidini açmak
- kullanıcı
- kullanıcılar
- Kullanılması
- satıcı
- doğrulamak
- Video
- güvenlik açıkları
- güvenlik açığı
- Savunmasız
- ağ
- web sunucusu
- İYİ
- hangi
- süre
- ile
- içinde
- olmadan
- Dünya
- zefirnet
- sıfır gün güvenlik açıkları