0
0
Um popular intercomunicador inteligente e videofone da empresa chinesa Akuvox, o E11, está repleto de mais de uma dúzia de vulnerabilidades, incluindo um bug crítico que permite a execução remota de código não autenticado (RCE).
Isso pode permitir que agentes mal-intencionados acessem a rede de uma organização, roubem fotos ou vídeos capturados pelo dispositivo, controlem a câmera e o microfone ou até mesmo tranquem ou destranquem portas.
As vulnerabilidades foram descobertas e apontadas pela empresa de segurança Team82, da Claroty, que percebeu os pontos fracos do dispositivo quando se mudou para um escritório onde o E11 já havia sido instalado.
A curiosidade dos membros do Team82 sobre o dispositivo se transformou em uma investigação completa quando descobriram 13 vulnerabilidades, que foram divididas em três categorias com base no vetor de ataque usado.
Os dois primeiros tipos podem ocorrer por RCE dentro da rede local ou ativação remota da câmera e do microfone do E11, permitindo que o invasor colete e exfiltre gravações multimídia. O terceiro vetor de ataque tem como alvo o acesso a um servidor de protocolo de transferência de arquivos (FTP) externo e inseguro, permitindo que o agente baixe imagens e dados armazenados.
Um bug RCE crítico no Akuvox 311
No que diz respeito aos bugs que mais se destacam, uma ameaça crítica – CVE-2023-0354 , com uma pontuação CVSS de 9,1 – permite que o servidor Web E11 seja acessado sem qualquer autenticação do usuário, potencialmente dando a um invasor acesso fácil a informações confidenciais.
“O servidor Web Akuvox E11 pode ser acessado sem qualquer autenticação do usuário, e isso pode permitir que um invasor acesse informações confidenciais, bem como crie e baixe capturas de pacotes com URLs padrão conhecidos”, de acordo com a Agência de Segurança Cibernética e Infraestrutura (CISA). , que publicou um comunicado sobre os bugs, incluindo uma visão geral da vulnerabilidade .
Outra vulnerabilidade digna de nota ( CVE-2023-0348 , com uma pontuação CVSS de 7,5) diz respeito ao aplicativo móvel SmartPlus que os usuários de iOS e Android podem baixar para interagir com o E11.
A questão principal está na implementação do aplicativo do Protocolo de Iniciação de Sessão (SIP) de código aberto para permitir a comunicação entre dois ou mais participantes em redes IP. O servidor SIP não verifica a autorização dos usuários do SmartPlus para se conectar a um determinado E11, ou seja, qualquer pessoa com o aplicativo instalado pode se conectar a qualquer E11 conectado à Web — inclusive aqueles localizados atrás de um firewall.
“Testamos isso usando o interfone do nosso laboratório e outro na entrada do escritório”, segundo o relatório da Claroty. “Cada interfone está associado a diferentes contas e diferentes partes. Na verdade, conseguimos ativar a câmera e o microfone fazendo uma chamada SIP da conta do laboratório para o interfone na porta.”
Vulnerabilidades de segurança Akuvox permanecem sem correção
O Team82 delineou suas tentativas de chamar a atenção do Akuvox para as vulnerabilidades, começando em janeiro de 2022, mas após várias tentativas de divulgação, a conta da Claroty com o fornecedor foi bloqueada. Posteriormente, o Team82 publicou um blog técnico detalhando as vulnerabilidades de dia zero e envolveu o Centro de Coordenação CERT (CERT/CC) e a CISA.
As organizações que usam o E11 são aconselhadas a desconectá-lo da Internet até que as vulnerabilidades sejam corrigidas ou, de outra forma, garantir que a câmera não seja capaz de gravar informações confidenciais.
Dentro da rede local, “as organizações são aconselhadas a segmentar e isolar o dispositivo Akuvox do restante da rede corporativa”, de acordo com o relatório da Claroty. “Não apenas o dispositivo deve residir em seu próprio segmento de rede, mas a comunicação com esse segmento deve ser limitada a uma lista mínima de terminais.”
Bugs em câmeras e dispositivos IoT são abundantes
Um mundo de dispositivos cada vez mais conectados criou uma vasta superfície de ataque para adversários sofisticados.
Espera-se que apenas o número de conexões industriais da Internet das Coisas (IoT) – uma medida do número total de dispositivos IoT implantados – mais que dobre para 36,8 bilhões em 2025, ante 17,7 bilhões em 2020, de acordo com a Juniper Research .
E embora o Instituto Nacional de Padrões e Tecnologia (NIST) tenha estabelecido um padrão para criptografar comunicações IoT , muitos dispositivos permanecem vulneráveis e sem patches.
O Akuvox é o mais recente de uma longa linha que apresenta falhas severas quando se trata de segurança do dispositivo. Por exemplo, uma vulnerabilidade RCE crítica em câmeras de vídeo Hikvision IP foi divulgada no ano passado .
E em novembro passado, uma vulnerabilidade em uma série de sistemas populares de entrada de porta digital oferecidos pela Aiphone permitiu que hackers violassem os sistemas de entrada – simplesmente utilizando um dispositivo móvel e uma etiqueta de comunicação de campo próximo (NFC).
FONTE: DARK READING