В IoT-устройствах AGFEO обнаружены уязвимости
Немецкая компания AGFEO является очередным производителем устройств «Интернета вещей» (IoT), предлагающим продукты с незащищенным web-интерфейсом. Исследователи SEC Consult обнаружили в контроллерах для «умных домов» ряд уязвимостей, позволяющих получить неавторизованный доступ к некоторым сервисам, осуществить XSS-атаку, а также получить вшитые ключи шифрования.
Прошивка AGFEO ES 5xx и 6xx имеет три сертификата с привязанными закрытыми ключами, с помощью которых злоумышленники могут получить права администратора. Однако для успешного взлома наличие привилегий администратора вовсе необязательно. Разработчики создали web-сервис для отладки в ES 5xx и забыли удалить его после поступления продукта в продажу. Согласно уведомлению, сервис «доступен через необычный порт» и работает с правами суперпользователя. Кроме того, есть удобный скрипт для чтения файлов, а значит, можно просмотреть все файлы в операционной системе.
Конфигурационные порты также являются открытыми (TCP 19002, 19004, 19006, 19009, 19010, 19080 и 19081) и предоставляют злоумышленникам возможность читать информацию об устройстве и изменять его конфигурацию. Поскольку имена пользователей и пароли хранятся в БД SQLite, хакеры могут похитить учетные данные всех пользователей.
Производитель получил уведомление об уязвимостях в январе текущего года, однако обновления вышли только 30 июня.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
