Više od desetak sigurnosnih propusta otkriveno je u E11, pametnom interkom proizvodu kineske kompanije Akuvox.
“Ranjivosti bi mogle omogućiti napadačima da izvrše kod na daljinu kako bi aktivirali i kontrolisali kameru i mikrofon uređaja, ukrali video i slike ili stekli uporište na mreži” rekla je Claroty-eva istraživačica bezbjednosti Vera Mens u tehničkom zapisu.
Kompanija Akuvox E11 opisuje na svojoj web stranici kao “SIP [Session Initiation Protocol] video portafon posebno dizajniran za vile, kuće i stanove.”
Listing proizvoda je, međutim, uklonjen s web stranice, prikazujući poruku o grešci: “Stranica ne postoji.” Snimak koji je napravio Google pokazuje da je stranica bila aktivna 12. marta 2023. godine u 05:59:51 GMT.
Napadi se mogu manifestovati ili putem daljinskog izvršavanja koda unutar lokalne mreže (LAN) ili daljinskog aktiviranja kamere i mikrofona E11, omogućavajući protivniku da prikupi i eksfiltrira multimedijalne snimke.
Treći vektor napada koristi prednost eksternog, nesigurnog servera protokola za prenos datoteka (FTP) za preuzimanje pohranjenih slika i podataka.
Najozbiljniji od problema su sljedeći:
- CVE-2023-0344 (CVSS rezultat: 9,1) – Čini se da Akuvox E11 koristi prilagođenu verziju dropbear SSH servera. Ovaj server dozvoljava nesigurnu opciju koja se po defaultu ne nalazi na službenom dropbear SSH serveru.
- CVE-2023-0345 (CVSS rezultat: 9,8) – Akuvox E11 secure shell (SSH) server je podrazumevano omogućen i može mu pristupiti root korisnik. Ovu lozinku korisnik ne može promijeniti.
- CVE-2023-0352 (CVSS rezultat: 9,1) – Web stranici za oporavak lozinke Akuvox E11 može se pristupiti bez autentifikacije, a napadač može preuzeti datoteku ključa uređaja. Napadač bi tada mogao koristiti ovu stranicu da vrati lozinku na zadanu vrijednost.
- CVE-2023-0354 (CVSS rezultat: 9,1) – Akuvox E11 web serveru se može pristupiti bez ikakve provjere autentičnosti korisnika, a to bi moglo omogućiti napadaču da pristupi osjetljivim informacijama, kao i da kreira i preuzima snimke paketa sa poznatim zadanim URL-ovima.
Većina od 13 sigurnosnih problema do danas je ostala nezakrpljena, a kompanija za industrijsku i IoT bezbjednost napominje da se Akuvox od tada pozabavio problemom dozvola FTP servera tako što je onemogućio „mogućnost popisivanja njegovog sadržaja tako da hakeri više ne mogu nabrajati datoteke“.
Nalazi su takođe potaknuli američku agenciju za kibernetičku bezbjednost i infrastrukturnu sigurnost (CISA) da prošle sedmice objavi svoj vlastiti savjetnik o industrijskim kontrolnim sistemima (ICS).
“Uspješno iskorištavanje ovih ranjivosti moglo bi uzrokovati gubitak osjetljivih informacija, neovlašteni pristup i dati punu administrativnu kontrolu napadaču” upozorava agencija.
U nedostatku zakrpa, organizacijama koje koriste domofon se savjetuje da ga isključe s interneta dok se ranjivosti ne poprave kako bi se ublažili potencijalni napadi na daljinu.
Takođe se savjetuje da promijenite zadanu lozinku koja se koristi za osiguranje web interfejsa i “segmentirate i izolujete Akuvox uređaj od ostatka poslovne mreže” kako biste spriječili napade lateralnog kretanja.
Razvoj dolazi kada je Wago objavio zakrpe za nekoliko svojih programabilnih logičkih kontrolera (PLC) za rešavanje četiri ranjivosti (CVE-2022-45137, CVE-2022-45138, CVE-2022-45139 i CVE-2022-45140) od kojih dvije može se iskoristiti za postizanje potpunog kompromisa sistema.
Izvor: The Hacker News