ABD güç ve elektronik devi Eaton, bir güvenlik araştırmacısının binlerce akıllı güvenlik alarm sistemine uzaktan erişmesine olanak tanıyan bir güvenlik açığını giderdi.
güvenlik araştırmacısı Vangelis Stykas açığı bulduğunu söyledi. Eaton’ın SecureConnect’imüşterilerin güvenlik alarm sistemlerine bir mobil uygulamadan uzaktan erişmesine, bunları yönetmesine ve kurmasına ve devre dışı bırakmasına olanak tanıyan bulut tabanlı bir sistem.
Stykas, güvenlik açığının herkesin yeni bir kullanıcı olarak kaydolmasına ve bu hesabı, Eaton’ın bulutuna bağlı tüm akıllı alarm sistemlerine erişimi olan bir “kök” grup da dahil olmak üzere, diğer herhangi bir kullanıcı grubuna atamasına izin verdiğini söyledi.
Güvenlik açığı, güvenli olmayan doğrudan nesne başvurusu veya bir sunucudaki erişim denetimlerinin zayıf veya eksik olması nedeniyle dosyalara, verilere veya kullanıcı hesaplarına denetlenmeyen erişime izin veren bir güvenlik hatası sınıfı olan IDOR olarak bilinir. Stykas, Burp Suite gibi ortadaki adam araçlarını kullanarak, yeni kullanıcının grup numarasını ele geçirerek ve basitçe “1” olan kök grup numarasıyla değiştirerek hatadan yararlanmanın kolay olduğunu söyledi.
Stykas, kök gruba bir kullanıcı eklemenin, kayıtlı kullanıcının adı ve e-posta adresi ve bağlı her güvenlik alarm sisteminin konumu dahil “her şeye erişim sağladığını” söyledi. Stykas, erişimin potansiyel bir saldırganın Eaton’ın bulutuna bağlı güvenlik alarm sistemlerini uzaktan kontrol etmesine izin verebileceğini söyledi – ancak bunu denemedi.
İçinde güvenlik bildirimi Eaton, web sitesinde yayınlanan hatanın grup erişim yetkilendirme mantığında bulunduğunu doğruladı.
Eaton sözcüsü Jonathan Hart, güvenlik açığının Mayıs ayında giderildiğini söyledi. Hart, kaç tane akıllı alarm müşterisi olduğunu söylemeyi reddetti, ancak Stykas, Eaton bağlantılı akıllı alarm sistemlerinin sayısının on binleri aştığını söyledi.
Eaton, güvenlik açığının bağlı güvenlik alarm sistemlerinin uzaktan kontrolüne izin verip vermediğini söylemeyi reddetti. Eaton, güvenlik açığının “tek bir olay olduğu doğrulandı” dedi, ancak bu sonuca nasıl varıldığını veya şirketin güvenlik açığının daha önce keşfedilip keşfedilmediğini veya istismar edilip edilmediğini belirlemek için kayıt sistemleri gibi teknik araçlara sahip olup olmadığını söylemedi.