30 апреля 2020 6916

Шпион в доме. Новые уязвимости в умных гаджетах

Компания ESET, международный эксперт в области информационной безопасности, обнаружила критические уязвимости в трех контроллерах для умного дома — Fibaro Home Center Lite, Home Matic Central Control Unit (CCU2) и eLAN-RF-003. Их активно используют в небольших офисах и домашних сетях по всему миру.

Найденные уязвимости могут быть использованы для осуществления атаки Man-in-the-Middle (MitM, перевод с англ. «атака посредника» или «человек посередине»). В этом случае злоумышленник не только получает доступ к информации между каналами связи, но и может легко подменить ее. Киберпреступник способен установить контроль над центральным блоком и всеми подключенными к нему девайсами.


Одним из уязвимых устройств стал Fibaro Home Center Lite — контроллер, предназначенный для управления IoT-устройствами. Эксперты ESET обнаружили ряд серьезных недостатков, с помощью которых злоумышленник может получить несанкционированный доступ. Например, одна из уязвимостей дает возможность создать бэкдор SSH, подобрать пароль и установить полный контроль над устройством.


В устройстве Homematic CCU2 обнаружена RCE-уязвимость, при помощи которой обеспечивается удаленное выполнение кода. С ее помощью злоумышленник мог бы легко получить доступ к системе умного дома и всем подключенным к ней гаджетам.


Эксперты ESET также сообщили о проблемах в версии прошивки устройства eLAN-RF-003 2.9.079, среди которых отсутствие реализации SSL-шифрования и некорректные проверки подлинности, позволяющие выполнять команды без авторизации.


Своевременное обнаружение уязвимостей экспертами ESET позволило производителям быстро выпустить обновления и избежать неприятных инцидентов.

Подробнее — в блоге ESET.

Комментарии

0
Оставьте комментарий!