Un análisis de seguridad de la plataforma en la nube OvrC ha descubierto 10 vulnerabilidades que podrían encadenarse para permitir a posibles atacantes ejecutar código de forma remota en dispositivos conectados.
“Los atacantes que explotan con éxito estas vulnerabilidades pueden acceder, controlar e interrumpir dispositivos compatibles con OvrC; algunos de ellos incluyen fuentes de alimentación eléctricas inteligentes, cámaras, enrutadores, sistemas de automatización del hogar y más”, dijo el investigador de Claroty, Uri Katz. dicho en un informe técnico.
OvrC de Snap One, pronunciado “supervisar”, se anuncia como una “plataforma de soporte revolucionaria” que permite a los propietarios de viviendas y empresas administrar, configurar y solucionar problemas de dispositivos IoT en la red de forma remota. Según su sitio web, las soluciones OvrC se implementan en más de 500.000 ubicaciones de usuarios finales.
Según un asesoramiento coordinado emitido por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), la explotación exitosa de las vulnerabilidades identificadas podría permitir a un atacante “suplantar y reclamar dispositivos, ejecutar código arbitrario y revelar información sobre el dispositivo afectado”.
Se ha descubierto que las fallas afectan a OvrC Pro y OvrC Connect, y la compañía publicó correcciones para ocho de ellos en mayo de 2023 y los dos restantes el 12 de noviembre de 2024.
“Muchos de estos problemas que encontramos surgen de descuidar la interfaz del dispositivo a la nube”, dijo Katz. “En muchos de estos casos, el problema central es la capacidad de reclamar dispositivos IoT debido a identificadores débiles o errores similares. Estos problemas van desde controles de acceso débiles, omisiones de autenticación, validación de entrada fallida, credenciales codificadas y fallas en la ejecución remota de código. “.
Como resultado, un atacante remoto podría aprovechar estas vulnerabilidades para eludir los firewalls y obtener acceso no autorizado a la interfaz de administración basada en la nube. Peor aún, el acceso podría utilizarse posteriormente como arma para enumerar y perfilar dispositivos, secuestrar dispositivos, elevar privilegios e incluso ejecutar código arbitrario.
Los defectos más graves se enumeran a continuación:
- CVE-2023-28649 (Puntuación CVSS v4: 9,2), que permite a un atacante hacerse pasar por un concentrador y secuestrar un dispositivo
- CVE-2023-31241 (Puntuación CVSS v4: 9,2), que permite a un atacante reclamar dispositivos arbitrarios no reclamados omitiendo el requisito de un número de serie
- CVE-2023-28386 (Puntuación CVSS v4: 9,2), que permite a un atacante cargar actualizaciones de firmware arbitrarias, lo que resulta en la ejecución de código
- CVE-2024-50381 (Puntuación CVSS v4: 9.1), que permite a un atacante hacerse pasar por un concentrador y retirar dispositivos de forma arbitraria y posteriormente explotar otras fallas para reclamarlo.
“Con más dispositivos conectados cada día y la gestión de la nube convirtiéndose en el medio dominante para configurar y acceder a los servicios, más que nunca, el ímpetu está en los fabricantes y proveedores de servicios en la nube para proteger estos dispositivos y conexiones”, dijo Katz. “Los resultados negativos pueden afectar las fuentes de alimentación conectadas, los enrutadores comerciales, los sistemas de automatización del hogar y más conectados a la nube OvrC”.
La divulgación se produce cuando Nozomi Networks detallado Tres fallos de seguridad que afectan a EmbedThis Adelanteun servidor web compacto utilizado en dispositivos integrados y de IoT, que podría provocar una denegación de servicio (DoS) en condiciones específicas. Las vulnerabilidades (CVE-2024-3184, CVE-2024-3186 y CVE-2024-3187) se han parcheado en la versión 6.0.1 de GoAhead.
En los últimos meses también se han constatado múltiples fallos de seguridad. descubierto en el servicio web exacqVision de Johnson Controls que podría combinarse para tomar el control de las transmisiones de video de las cámaras de vigilancia conectadas a la aplicación y robar credenciales.