Популярний розумний домофон і відеотелефон E11 від китайської компанії Akuvox містить більше десятка вразливостей, включаючи критичну помилку, яка дозволяє неавтентифіковане віддалене виконання коду (RCE).
Це може дозволити зловмисникам отримати доступ до мережі організації, викрасти фотографії чи відео, зняті пристроєм, керувати камерою та мікрофоном або навіть замикати чи відмикати двері.
Уразливості були виявлені та виділені охоронною фірмою Claroty's Team82, якій стало відомо про слабкі місця пристрою, коли вони переїхали в офіс, де вже був встановлений E11.
Цікавість членів Team82 щодо пристрою переросла в повномасштабне розслідування, оскільки вони виявили 13 уразливостей, які вони розділили на три категорії на основі використаного вектора атаки.
Перші два типи можуть відбуватися або через RCE в локальній мережі, або через дистанційну активацію камери та мікрофона E11, що дозволяє зловмиснику збирати та вилучати мультимедійні записи. Третій вектор атаки націлений на доступ до зовнішнього, незахищеного сервера протоколу передачі файлів (FTP), що дозволяє актору завантажувати збережені зображення та дані.
Критична помилка RCE в Akuvox 311
Щодо помилок, які виділяються найбільше, одна критична загроза — CVE-2023-0354, з оцінкою CVSS 9.1 — дозволяє отримати доступ до веб-сервера E11 без будь-якої автентифікації користувача, потенційно надаючи зловмиснику легкий доступ до конфіденційної інформації.
«До веб-сервера Akuvox E11 можна отримати доступ без будь-якої автентифікації користувача, і це може дозволити зловмиснику отримати доступ до конфіденційної інформації, а також створювати та завантажувати захоплені пакети з відомими URL-адресами за замовчуванням», — повідомляє Агентство кібербезпеки та безпеки інфраструктури (CISA). , який опублікував пораду щодо помилок, зокрема a огляд вразливостей.
Ще одна вразливість (CVE-2023-0348, з оцінкою CVSS 7.5) стосується мобільного додатка SmartPlus, який користувачі iOS і Android можуть завантажити для взаємодії з E11.
Основна проблема полягає у реалізації в додатку протоколу ініціації сеансу (SIP) з відкритим вихідним кодом для забезпечення зв’язку між двома чи більше учасниками через IP-мережі. Сервер SIP не перевіряє авторизацію користувачів SmartPlus для підключення до певного E11, тобто будь-яка особа, у якої встановлено програму, може підключитися до будь-якого E11, підключеного до Інтернету, включно з тими, які знаходяться за брандмауером.
«Ми перевірили це за допомогою внутрішнього зв’язку в нашій лабораторії та ще одного на вході в офіс», — йдеться у звіті Claroty. «Кожен домофон пов’язаний з різними обліковими записами та різними сторонами. Насправді ми змогли активувати камеру та мікрофон, зробивши SIP-дзвінок з облікового запису лабораторії на домофон біля дверей».
Вразливості системи безпеки Akuvox залишаються невиправленими
Команда Team82 повідомила про свої спроби привернути увагу Akuvox до вразливостей, починаючи з січня 2022 року, але після кількох спроб зв’язку обліковий запис Claroty у постачальника було заблоковано. Пізніше Team82 опублікувала технічний блог із детальним описом уразливостей нульового дня та залучила Координаційний центр CERT (CERT/CC) і CISA.
Організаціям, які використовують E11, рекомендується від’єднати його від Інтернету, доки вразливості не будуть усунені, або іншим чином переконатися, що камера не здатна записувати конфіденційну інформацію.
Згідно зі звітом Claroty, у локальній мережі «організаціям рекомендується сегментувати та ізолювати пристрій Akuvox від решти корпоративної мережі». «Пристрій не тільки повинен знаходитися у власному сегменті мережі, але зв’язок із цим сегментом має бути обмежений мінімальним списком кінцевих точок».
Багато помилок у камерах і пристроях Інтернету речей
Світ дедалі більше підключених пристроїв створив a велика площа атаки для досвідчених супротивників.
Очікується, що лише кількість підключень до промислового Інтернету речей (IoT) — міра загальної кількості розгорнутих пристроїв IoT — збільшиться більш ніж удвічі до 36.8 мільярдів у 2025 році проти 17.7 мільярдів у 2020 році, за даними Juniper Research.
І хоча Національний інститут стандартів і технологій (NIST) зупинився на стандарті для шифрування комунікацій IoT, багато пристроїв залишаються вразливими та невиправленими.
Akuvox є останньою з довгої серії цих, які виявили серйозні недоліки, коли справа доходить до безпеки пристрою. Наприклад, була критична вразливість RCE у IP-відеокамерах Hikvision розкрито минулого року.
А в листопаді минулого року вразливість у ряді популярних цифрових домофонних систем, запропонованих Aiphone, дозволила хакерам порушити системи входу — просто за допомогою мобільного пристрою та мітки зв’язку ближнього поля (NFC).
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://www.darkreading.com/cloud/unpatched-zero-day-bugs-smart-intercom-remote-eavesdropping
- :є
- $UP
- 1
- 2020
- 2022
- 7
- 8
- 9
- a
- Здатний
- МЕНЮ
- доступ
- доступний
- За
- рахунки
- Рахунки
- Активація
- актори
- консультативний
- після
- агентство
- Дозволити
- дозволяє
- тільки
- вже
- та
- та інфраструктури
- чоловіча
- Інший
- додаток
- ЕСТЬ
- ПЛОЩА
- AS
- асоційований
- At
- атака
- Спроби
- увагу
- Authentication
- авторизації
- заснований
- BE
- початок
- за
- між
- Мільярд
- блокований
- Блог
- приносити
- Помилка
- помилки
- by
- call
- кімната
- камери
- CAN
- здатний
- захвати
- категорії
- Центр
- китайський
- СНД
- код
- збирати
- Комунікація
- компанія
- Турбота
- З'єднуватися
- підключений
- Підключені пристрої
- Зв'язки
- контроль
- координація
- Core
- може
- створювати
- створений
- критичний
- цікавість
- Кібербезпека
- Агентство з питань кібербезпеки та безпеки інфраструктури
- дані
- дефолт
- розгорнути
- Деталізація
- пристрій
- прилади
- різний
- цифровий
- відкритий
- розділений
- Двері
- Двері
- подвійний
- скачати
- дюжина
- кожен
- або
- включіть
- забезпечувати
- підприємство
- вхід
- запис
- Ефір (ETH)
- Навіть
- виконання
- очікуваний
- зовнішній
- філе
- брандмауер
- Фірма
- Перший
- фіксованою
- для
- знайдений
- від
- дає
- хакери
- Виділено
- HTTP
- HTTPS
- зображень
- реалізація
- in
- У тому числі
- все більше і більше
- індивідуальний
- промислові
- інформація
- Інфраструктура
- екземпляр
- Інститут
- взаємодіяти
- інтернет
- Інтернет речей
- дослідження
- залучений
- iOS
- КАТО
- прилади іоту
- IP
- питання
- IT
- ЙОГО
- січня
- відомий
- lab
- останній
- останній
- обмеженою
- Лінія
- список
- місцевий
- розташований
- Довго
- Робить
- багато
- сенс
- вимір
- мікрофон
- мінімальний
- Mobile
- Мобільний додаток
- мобільний пристрій
- більше
- найбільш
- мультимедіа
- National
- мережу
- мереж
- NFC
- nist
- Листопад
- номер
- of
- запропонований
- Office
- on
- ONE
- відкрити
- з відкритим вихідним кодом
- організація
- організації
- інакше
- викладені
- пропаганда
- власний
- Учасники
- приватність
- Сторони
- plato
- Інформація про дані Платона
- PlatoData
- популярний
- потенційно
- протокол
- опублікований
- запис
- залишатися
- віддалений
- звітом
- REST
- s
- безпеку
- сегмент
- чутливий
- Серія
- Сесія
- Врегульований
- кілька
- Повинен
- просто
- розумний
- складний
- Source
- стояти
- standard
- стандартів
- зберігати
- Згодом
- Systems
- TAG
- цілі
- технічний
- Технологія
- Що
- Команда
- їх
- Ці
- речі
- третій
- загроза
- три
- через
- до
- Усього:
- переклад
- Опинився
- Типи
- відімкнути
- користувач
- користувачі
- використовує
- продавець
- перевірити
- Відео
- Уразливості
- вразливість
- Вразливий
- Web
- Веб-сервер
- ДОБРЕ
- який
- в той час як
- з
- в
- без
- світ
- зефірнет
- уразливості нульового дня