Непропатченный ноль
Популярный интеллектуальный домофон и видеофон китайской компании Akuvox E11 пронизан более чем дюжиной уязвимостей, включая критическую ошибку, которая делает возможным удаленное выполнение кода без аутентификации (RCE).
Они могут позволить злоумышленникам получить доступ к сети организации, украсть фотографии или видео, снятые устройством, управлять камерой и микрофоном или даже запирать или открывать двери.
Уязвимости были обнаружены и освещены охранной фирмой Claroty's Team82, которая узнала о слабостях устройства, когда переехала в офис, где E11 уже был установлен.
Любопытство членов Team82 по поводу устройства переросло в полномасштабное расследование, поскольку они обнаружили 13 уязвимостей, которые они разделили на три категории в зависимости от используемого вектора атаки.
Первые два типа могут произойти либо через RCE в локальной сети, либо через удаленную активацию камеры и микрофона E11, что позволяет злоумышленнику собирать и удалять мультимедийные записи. Третий вектор атаки нацелен на доступ к внешнему незащищенному серверу протокола передачи файлов (FTP), позволяющему злоумышленнику загружать сохраненные изображения и данные.
Что касается наиболее заметных ошибок, то одна критическая угроза — CVE-2023-0354 с оценкой CVSS 9,1 — позволяет получить доступ к веб-серверу E11 без какой-либо аутентификации пользователя, что потенциально дает злоумышленнику легкий доступ к конфиденциальной информации.
«Доступ к веб-серверу Akuvox E11 возможен без какой-либо аутентификации пользователя, и это может позволить злоумышленнику получить доступ к конфиденциальной информации, а также создавать и загружать перехваченные пакеты с известными URL-адресами по умолчанию», — сообщает Агентство кибербезопасности и безопасности инфраструктуры (CISA). , который опубликовал информацию об ошибках, включая обзор уязвимостей.
Другая примечательная уязвимость (CVE-2023-0348, с оценкой CVSS 7,5) касается мобильного приложения SmartPlus, которое пользователи iOS и Android могут загрузить для взаимодействия с E11.
Основная проблема заключается в реализации в приложении протокола инициирования сеанса с открытым исходным кодом (SIP), обеспечивающего связь между двумя или более участниками через IP-сети. SIP-сервер не проверяет авторизацию пользователей SmartPlus для подключения к определенному E11, а это означает, что любой человек с установленным приложением может подключиться к любому E11, подключенному к Интернету, включая те, которые расположены за брандмауэром.
«Мы проверили это, используя домофон в нашей лаборатории и еще один у входа в офис», — говорится в отчете Claroty. «Каждый домофон связан с разными учетными записями и разными сторонами. Фактически мы смогли активировать камеру и микрофон, сделав SIP-вызов с учетной записи лаборатории на домофон у двери».
Team82 рассказала о своих попытках довести уязвимости до сведения Akuvox, начиная с января 2022 года, но после нескольких попыток связи учетная запись Claroty у поставщика была заблокирована. Впоследствии Team82 опубликовала технический блог с подробным описанием уязвимостей нулевого дня и привлекла Координационный центр CERT (CERT/CC) и CISA.
Организациям, использующим E11, рекомендуется отключить ее от Интернета до тех пор, пока уязвимости не будут устранены, или иным образом убедиться, что камера не способна записывать конфиденциальную информацию.
Согласно отчету Claroty, в локальной сети «организациям рекомендуется сегментировать и изолировать устройство Akuvox от остальной сети предприятия». «Устройство не только должно находиться в собственном сегменте сети, но и связь с этим сегментом должна быть ограничена минимальным списком конечных точек».
Мир все более подключенных устройств создал обширную поверхность атаки для изощренных злоумышленников.
По данным Juniper Research, только число подключений к промышленному Интернету вещей (IoT) — показатель общего количества развернутых устройств IoT — увеличится более чем вдвое до 36,8 миллиардов в 2025 году по сравнению с 17,7 миллиардов в 2020 году.
И хотя Национальный институт стандартов и технологий (NIST) разработал стандарт шифрования IoT-коммуникаций, многие устройства остаются уязвимыми и не исправленными.