Belkin’in Wemo Mini Akıllı Fişinin ikinci nesil sürümünün, bir tehdit aktörü tarafından uzaktan rasgele komutlar enjekte etmek için silah haline getirilebilecek bir arabellek taşması güvenlik açığı içerdiği bulundu.
Tanımlayıcı atanan sorun CVE-2023-272179 Ocak 2023’te İsrail IoT güvenlik şirketi tarafından keşfedildi ve Belkin’e bildirildi. göğüs kemiğicihaza ters mühendislik uygulayan ve üretici yazılımı erişimi sağlayan.
Wemo Mini Akıllı Fiş V2 (F7C063), kullanıcıların bir akıllı telefona veya tablete yüklenen eşlik eden bir uygulamayı kullanarak elektronik cihazları açıp kapatmalarına olanak tanıyan kullanışlı bir uzaktan kumanda sunar.
Sorunun özü, akıllı fişi daha fazla ” olarak yeniden adlandırmayı mümkün kılan bir özellikte yatmaktadır.DostAdı.” Atanan varsayılan ad “Wemo mini 6E9.”
Güvenlik araştırmacıları Amit Serper ve Reuven Yakar, “Ad uzunluğu 30 veya daha az karakterle sınırlıdır, ancak bu kural yalnızca uygulamanın kendisi tarafından uygulanır.” söz konusu The Hacker News ile paylaşılan bir raporda, doğrulamanın ürün yazılımı kodu tarafından uygulanmadığını eklemek.
Sonuç olarak, adlı bir Python modülü kullanarak karakter sınırlamasını aşmak pyWeMo arabellek taşması durumuna yol açabilir, bu daha sonra cihazı çökertmek için güvenilir bir şekilde kullanılabilir veya alternatif olarak kodu kandırarak kötü amaçlı komutlar çalıştırabilir ve kontrolü ele geçirebilir.
Belkin, bulgulara yanıt olarak, cihazın kullanım ömrünün sonuna (EoL) gelmesi ve daha yeni modellerle değiştirilmesi nedeniyle kusuru gidermeyi planlamadığını söyledi.
Araştırmacılar, “Görünüşe göre bu güvenlik açığı, Bulut arabirimi aracılığıyla (cihazla doğrudan bağlantı olmadan) tetiklenebilir” diye uyardı.
Bir düzeltme olmadığında, Wemo Mini Smart Plug V2 kullanıcılarının kendilerini doğrudan internete maruz bırakmaktan kaçınmaları ve hassas ağlarda konuşlandırılmışlarsa uygun segmentasyon önlemlerinin uygulandığından emin olmaları önerilir.
“Cihazlar herhangi bir cihaz üstü koruma olmadan gönderildiğinde olan budur. Bugün çoğu cihaz üreticisinin yaptığı gibi, yalnızca duyarlı güvenlik düzeltme ekine güvenirseniz, iki şey kesindir: her zaman saldırganın bir adım arkasında olacaksınız ve bir gün Sternum’un pazarlamadan sorumlu başkan yardımcısı Igal Zeifman, yamaların gelmesini durduracak” dedi.