Istraživači cyber sigurnosti otkrili su nekoliko sigurnosnih propusta u platformi za upravljanje cloud-om koju je razvio Ruijie Networks, a koja bi mogla dozvoliti napadaču da preuzme kontrolu nad mrežnim uređajima.
“Ove ranjivosti utiču i na Reyee platformu, kao i na Reyee OS mrežne uređaje”, rekli su Claroty istraživači Noam Moshe i Tomer Goldschmidt u nedavnoj analizi. “Ranjivosti, ako se iskoriste, mogu dozvoliti malicioznom napadaču da izvrši kod na bilo kojem uređaju koji je omogućen u cloud-u, dajući im mogućnost da kontrolišu desetine hiljada uređaja.”
Sigurnosna kompanija operativne tehnologije (OT), koja je provela dubinsko istraživanje dobavljača Interneta stvari (IoT), rekla je da ne samo da je identifikovala 10 nedostataka, već je osmislila i napad pod nazivom “Open Sesame” koji se može koristiti za hakovanje pristupnu tačku u neposrednoj fizičkoj blizini preko cloud-a i dobiti neovlašteni pristup svojoj mreži.
Od 10 ranjivosti , tri su ocijenjene kao kritične po ozbiljnosti –
- CVE-2024-47547 (CVSS rezultat 9,4) – Upotreba slabog mehanizma za oporavak lozinke koji ostavlja mehanizam za autentifikaciju ranjivim na napade grubom silom
- CVE-2024-48874 (CVSS rezultat 9,8) – Ranjivost na strani servera za krivotvorenje zahtjeva (SSRF) koja bi se mogla iskoristiti za pristup internim uslugama koje koristi Ruijie i njihovoj internoj infrastrukturi oblaka putem AWS cloud metapodataka usluga
- CVE-2024-52324 (CVSS rezultat: 9,8) – Upotreba inherentno opasne funkcije koja bi mogla omogućiti napadaču da pošalje zlonamjernu MQTT poruku koja bi mogla dovesti do toga da uređaji izvršavaju proizvoljne naredbe operativnog sistema
Clarotyjevo istraživanje je takođe otkrilo da je lako probiti MQTT autentifikaciju jednostavnim poznavanjem serijskog broja uređaja (CVE-2024-45722, CVSS rezultat: 7,5), nakon čega se iskorištava pristup Ruijie-ovom MQTT brokeru kako bi se dobila potpuna lista svih cloud-a. serijske brojeve povezanih uređaja.
“Koristeći procurele serijske brojeve, mogli bismo generisati valjane krendicijale za autentifikaciju za sve uređaje povezane s cloud-om”, rekli su istraživači. “To je značilo da smo mogli izvesti širok spektar napada uskraćivanja usluge, uključujući isključivanje uređaja autentifikacijom u njihovo ime, pa čak i slanje izmišljenih poruka i događaja u cloud; slanje lažnih podataka korisnicima ovih uređaja.”
Poznavanje serijskog broja uređaja moglo bi se dodatno iskoristiti za pristup svim redovima MQTT poruka i izdavanje malicioznih naredbi koje bi se potom izvršavale na svim uređajima povezanim s cloud-om (CVE-2024-52324).
To nije sve. Napadač koji je fizički u blizini Wi-Fi mreže koja koristi Ruijie pristupne tačke može takođe izdvojiti serijski broj uređaja presretanja sirovih Wi-Fi signala, a zatim iskoristiti druge ranjivosti u MQTT komunikaciji kako bi postigao daljinsko izvršavanje koda. Open Sesame napadu je dodijeljen CVE identifikator CVE-2024-47146 (CVSS rezultat: 7,5).
Nakon odgovornog otkrivanja, kineska kompanija je otklonila sve uočene nedostatke u oblaku i nije potrebna nikakva radnja korisnika. Procjenjuje se da je oko 50.000 uređaja povezanih s cloud-om potencijalno pogođeno ovim greškama.
“Ovo je još jedan primjer slabosti u takozvanim uređajima za internet stvari kao što su bežične pristupne tačke, ruteri i druge povezane stvari koje imaju prilično nisku barijeru za ulazak na uređaj, ali omogućavaju mnogo dublje mrežne napade”, rekli su istraživači.
Objava dolazi pošto je sigurnosni obrazac PCAutomotive označio 12 ranjivosti u MIB3 infotainment jedinici koja se koristi u određenim Škoda automobilima koje bi maliciozni hakeri mogli spojiti zajedno kako bi postigli izvršenje koda, pratili lokaciju automobila u realnom vremenu, snimali razgovore putem mikrofona u automobilu, napravite snimke ekrana infotainment displeja, pa čak i eksfiltrirajte kontakt informacije.
Nedostaci (od CVE-2023-28902 do CVE-2023-29113) dozvoljavaju napadačima da “dobiju izvršenje koda na MIB3 infotainment jedinici preko Bluetooth-a, podignu privilegije do root-a, zaobiđu sigurno pokretanje kako bi dobili trajno izvršavanje koda i kontrolišu infotainment jedinicu preko DNS kanal svaki put kada se automobil pokrene”, rekli su istraživači PCAutomotive .
Ovo otkriće dodaje još devet nedostataka (od CVE-2023-28895 do CVE-2023-28901) identifikovanih u MIB3 infotainment jedinici krajem 2022. godine koji bi mogli omogućiti napadačima da pokrenu uskraćivanje usluge, zaobiđu UDS autentifikaciju i dobiju vozilo podaci — naime, kilometraža, nedavna dužina putovanja, te prosječna i maks. = maksimalna brzina putovanje — znajući samo VIN broj vozila.
Izvor:The Hacker News
