Sonos One kablosuz hoparlörlerde ortaya çıkarılan çoklu güvenlik kusurları, bilgi ifşası ve uzaktan kod yürütme, Zero Day Initiative (ZDI) elde etmek için potansiyel olarak kullanılabilir. söz konusu geçen hafta yayınlanan bir raporda.
Güvenlik açıkları, geçen yılın sonlarında Toronto’da düzenlenen Pwn2Own bilgisayar korsanlığı yarışmasında Qrious Secure, STAR Labs ve DEVCORE’dan üç farklı ekip tarafından gösterildi ve onlara 105.000 $ para ödülü kazandırdı.
Sonos One Speaker 70.3-35220’yi etkileyen dört kusurun listesi aşağıdadır –
- CVE-2023-27352 Ve CVE-2023-27355 (CVSS puanları: 8.8) – Ağa bitişik saldırganların etkilenen kurulumlarda rasgele kod yürütmesine izin veren kimliği doğrulanmamış kusurlar.
- CVE-2023-27353 Ve CVE-2023-27354 (CVSS puanı: 6.5) – Ağa bitişik saldırganların etkilenen kurulumlardaki hassas bilgileri ifşa etmesine izin veren kimliği doğrulanmamış kusurlar.
CVE-2023-27352, SMB dizini sorgu komutlarını işlerken kaynaklanırken, CVE-2023-27355, MPEG-TS ayrıştırıcı içinde bulunur.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Her iki eksikliğin de başarılı bir şekilde kullanılması, bir saldırganın kök kullanıcı bağlamında rasgele kod yürütmesine izin verebilir.
Her iki bilgi ifşa kusuru, yükseltilmiş ayrıcalıklarla kod yürütme elde etmek için sistemlerdeki diğer kusurlarla ayrı ayrı birleştirilebilir.
29 Aralık 2022’deki sorumlu açıklamanın ardından kusurlar, sırasıyla Sonos S2 ve S1 yazılım sürümleri 15.1 ve 11.7.1’in bir parçası olarak Sonos tarafından giderildi. Kullanıcıların olası riskleri azaltmak için en son yamaları uygulamaları önerilir.