一项针对 OvrC 云平台的安全分析发现了 10 个漏洞,这些漏洞可以串联起来,允许潜在攻击者在联网设备上远程执行代码。
Claroty 研究人员 Uri Katz 在一份技术报告中说:“成功利用这些漏洞的攻击者可以访问、控制和破坏 OvrC 支持的设备;其中一些设备包括智能电源、摄像头、路由器、家庭自动化系统等。”
Snap One公司的OvrC(发音为 “oversee”)被宣传为一个 “革命性的支持平台”,能让业主和企业远程管理、配置网络上的物联网设备并排除故障。据其网站介绍,OvrC 解决方案已部署在 50 多万个终端用户地点。
根据美国网络安全和基础设施安全局(CISA)发布的协调公告,成功利用已发现的漏洞可使攻击者 “冒充并声称拥有设备,执行任意代码,并披露受影响设备的信息。”
已发现的这些漏洞会影响 OvrC Pro 和 OvrC Connect,该公司已于 2023 年 5 月发布了其中 8 个漏洞的修复程序,并于 2024 年 11 月 12 日发布了剩余 2 个漏洞的修复程序。
“我们发现的这些问题很多都是由于忽视了设备到云的接口而引起的,”卡茨说。“在许多这样的案例中,核心问题是由于弱标识符或类似的错误,物联网设备被交叉认领的能力。这些问题包括弱访问控制、身份验证绕过、输入验证失败、硬编码凭证和远程代码执行缺陷等。”
因此,远程攻击者可以利用这些漏洞绕过防火墙,在未经授权的情况下访问基于云的管理界面。更糟糕的是,这些访问权限随后可能被用于枚举和配置设备、劫持设备、提升权限,甚至运行任意代码。
最严重的漏洞列举如下
- CVE-2023-28649 (CVSS v4 得分:9.2),允许攻击者假冒集线器并劫持设备CVE-2023-31241(CVSS v4 分值:9.2),允许攻击者绕过序列号要求,认领任意未认领设备CVE-2023-28386 (CVSS v4 评分:9.2),允许攻击者上传任意固件更新,导致代码执行CVE-2024-50381(CVSS v4 分值:9.1),允许攻击者冒充集线器,任意取消认领设备,随后利用其他缺陷认领设备
“随着每天上线的设备越来越多,云管理成为配置和访问服务的主要手段,制造商和云服务提供商比以往任何时候都更需要确保这些设备和连接的安全,”Katz 说。“负面结果可能会影响连接到 OvrC 云的联网电源、商业路由器、家庭自动化系统等。
Nozomi Networks 在披露上述信息的同时,还详细介绍了影响 EmbedThis GoAhead 的三个安全漏洞,EmbedThis GoAhead 是嵌入式和物联网设备中使用的小型 Web 服务器,在特定条件下可能导致拒绝服务(DoS)。这些漏洞(CVE-2024-3184、CVE-2024-3186 和 CVE-2024-3187)已在 GoAhead 6.0.1 版本中得到修补。
最近几个月,江森自控的 exacqVision Web 服务也发现了多个安全漏洞,这些漏洞可被结合起来,控制连接到该应用程序的监控摄像头的视频流并窃取凭证。
转自安全客,原文链接:https://www.anquanke.com/post/id/301819
封面来源于网络,如有侵权请联系删除
