Три производителя умных домов признаны критически уязвимыми

Опубликовано at 17:47
88 0

Специалисты из компании ESET обнаружили критические уязвимости в трех разных контроллерах «умного» дома — Fibaro Home Center Lite, eQ-3 Homematic Central Control Unit (CCU2) и ElkoEP eLAN-RF-003.

По словам экспертов, эксплуатация проблем позволяет злоумышленнику удаленно выполнить код, похитить данные и осуществить MitM-атаки. Уязвимые устройства несколько различны по назначению: Home Center Lite представляет собой компактный контроллер для управления «умными» устройствами, Homematic CCU2 предназначен для управления функциями программирования и логики в устройствах Homematic, а eLAN-RF-003 является «умным» коммуникатором для управления сетями через мобильные устройства.

В случае с прошивкой устройства Fibaro специалисты ESET обнаружили, что не проверяется сертификат в TLS-соединениях, т.е. эксплуатация которых позволяет осуществлять MitM-атаки и внедрять команды. С помощью брутфорса преступник может узнать встроенный пароль прошивки, создать SSH-бэкдор и получить права суперпользователя. Доступ к встроенному модификатору входа хэш-функции (соль) можно было получить прямо через web-интерфейс Fibaro.

Контроллер от Homematic оказался уязвим к удаленному выполнению кода в CGI-скрипте контроллера, были найдены аналогичные Fibaro проблемы с авторизацией. В случае с Elko уязвимость заключалась вдобавок в отсутствии реализации SSL-шифрования (так и не исправленной до сих пор). Остальные производители уже исправили уязвимости, так что владельцам соответствующих устройств для умного дома теперь нужно скачать обновления.

Ранее в апреле мы сообщали, что специалисты подразделения Microsoft по борьбе с киберпреступлениями обнаружили и помогли ликвидировать ботнет из 400 тыс. устройств, управляемый… светодиодной консолью.

Читайте также на АКБ:

Умный дом взломали через лампочку с расстояния 100 метров

Подписываемся, следим @CyberAgency

Related Post

Депутаты Мосгордумы «изобрели» преподавание кибербезопасности

Опубликовано - 15.02.2018 0
Депутаты Мосгордумы Надежда Перфилова и Лариса Картавцева предложили ввести уроки кибербезопасности в московских школах, сообщила «Вечерняя Москва». Агентство кибербезопасности это…