智能物联网家庭集线器易受远程代码执行攻击的影响
研究人员发现,一系列常见于家庭和办公室的智能物联网(IoT)集线器存在严重的安全漏洞。周三,ESET网络安全团队表示,三款不同的集线器--Fibaro Home Center Lite、eQ-3的Homematic中央控制单元(CCU2)和ElkoEP的eLAN-RF-003---都含有足以引发远程代码执行(RCE)、数据泄露和中间人(MitM)攻击的危险漏洞。
Fibaro Home Center Lite是一款紧凑、简单的控制器,用于管理智能照明和家电等智能设备,eQ-3的Homematic CCU2是继CCU3之后的老产品,管理Homematic家电的编程和逻辑功能,而ElkoEP开发的eLAN-RF-003则是一款智能射频盒,可连接到局域网,通过移动设备控制网络。
Fibaro Home Center (HC) Lite---固件版本为4.170---在测试中发现了安全漏洞,包括TLS连接中的证书验证缺失,使用户面临MiTM攻击和命令注入等安全漏洞。
此外,还可以粗暴地强制集线器暴露存储在固件中的一个简短的硬编码密码;创建一个SSH后门而不费吹灰之力,并获得设备劫持的完全root权限。硬编码到集线器中的密码盐,可以通过Fibaro Web界面轻松访问。
最后,如果向Fibaro HC Lite中负责天气监测的功能发送请求,设备就会泄露其准确的GPS坐标。固件更新也是通过HTTP下载的,而且没有加密或保护。
在欧洲各地部署的eQ-3的Homematic CCU2也存在严重漏洞。在测试了2.31.25版本的固件后,ESET发现了集线器CGI脚本中的RCE漏洞,导致未经认证的用户进行远程代码执行攻击,并对设备进行全面劫持。
Elko的eLAN-RF-003,运行在2.9.079版本的固件上,包含了关键的漏洞,包括没有实现HTTPS来加密通信,验证检查不充分,允许在没有凭证的情况下执行所有命令,以及没有使用会话cookie。
这些漏洞可用于泄漏敏感数据,使用户遭受MiTM攻击,也允许攻击者部署恶意数据包来执行代码。此外,设备的Web界面也几乎没有保护措施,这可能会让威胁者劫持智能射频盒及其连接。
这些问题是在2018年被报告给厂商的。虽然这已经是很久以前的事了,研究团队表示,其他披露项目成为了优先事项---导致公开发布的时间被推迟了,但由于我们现在很多人都在工作或在家办公或经营业务,ESET希望清除这个特殊的板子。
尽管如此,仍然敦促这些设备的用户检查是否已经安装了更新。
ESET在2月和3月期间报告了Elko和eQ-3漏洞。到了5月,Elko通过固件3.0.038版发布了一个补丁,修复了部分漏洞,但未加密的Web GUI通信和易受攻击的RF通信问题至今仍存在。
8月份,Fibaro的这组BUG被私下透露给了厂商。几天之内,厂商解决了所有的问题,除了硬编码的盐字串没有改变,ESET说,它仍然被用来创建密码SHA-1哈希值。
ESET还没有对厂商的新一代物联网集线器进行测试。
"有些问题似乎没有得到解决,至少在老一代设备上,"ESET说。"即使有了更新的、更安全的几代设备,但旧的设备仍然在运行[..........]由于几乎没有什么动力让功能较老的设备的用户升级,他们[用户]需要谨慎,因为它们仍然可能被暴露。"
页:
[1]