Se han revelado más de una docena de fallas de seguridad en E11, un producto de intercomunicador inteligente fabricado por una empresa china. Akuvox.
«Las vulnerabilidades podrían permitir a los atacantes ejecutar código de forma remota para activar y controlar la cámara y el micrófono del dispositivo, robar videos e imágenes, o afianzarse en la red», dijo Vera Mens, investigadora de seguridad de Claroty. dicho en un informe técnico.
Akuvox E11 es descrito por la empresa en su sitio web como un «SORBO [Session Initiation Protocol] Videoportero especialmente diseñado para villas, casas y apartamentos.
El listado de productos, sin embargo, se eliminó del sitio web y se muestra un mensaje de error: «La página no existe». A instantánea capturado por Google muestra que la página estuvo activa el 12 de marzo de 2023 a las 05:59:51 GMT.
Los ataques pueden manifestarse mediante la ejecución remota de código dentro de la red de área local (LAN) o la activación remota de la cámara y el micrófono del E11, lo que permite que el adversario recopile y extraiga grabaciones multimedia.
Un tercer vector de ataque aprovecha un servidor de protocolo de transferencia de archivos (FTP) externo e inseguro para descargar imágenes y datos almacenados.
Los problemas más graves son los siguientes:
- CVE-2023-0344 (Puntuación CVSS: 9.1) – Akuvox E11 parece estar usando una versión personalizada del servidor SSH dropbear. Este servidor permite una opción insegura que por defecto no está en el servidor SSH oficial de dropbear.
- CVE-2023-0345 (Puntuación CVSS: 9,8) – El servidor de shell seguro (SSH) Akuvox E11 está habilitado de forma predeterminada y el usuario root puede acceder a él. Esta contraseña no puede ser cambiada por el usuario.
- CVE-2023-0352 (Puntuación CVSS: 9,1) – Se puede acceder a la página web de recuperación de contraseña de Akuvox E11 sin autenticación, y un atacante podría descargar el archivo de clave del dispositivo. Un atacante podría usar esta página para restablecer la contraseña a su valor predeterminado.
- CVE-2023-0354 (Puntuación CVSS: 9,1): se puede acceder al servidor web Akuvox E11 sin ninguna autenticación de usuario, y esto podría permitir que un atacante acceda a información confidencial, así como crear y descargar capturas de paquetes con URL predeterminadas conocidas.
La mayoría de los 13 problemas de seguridad siguen sin parchear hasta la fecha, y la compañía de seguridad industrial y de IoT señaló que Akuvox ha abordado el problema de los permisos del servidor FTP al deshabilitar «la capacidad de enumerar su contenido para que los actores maliciosos no puedan enumerar más archivos».
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
Los hallazgos también han llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a liberar un aviso de Sistemas de control industrial (ICS) propio la semana pasada.
«La explotación exitosa de estas vulnerabilidades podría causar la pérdida de información confidencial, el acceso no autorizado y otorgar un control administrativo total a un atacante», dijo la agencia. advertido.
En ausencia de parches, se recomienda a las organizaciones que utilizan el interfono que lo desconecten de Internet hasta que se corrijan las vulnerabilidades para mitigar posibles ataques remotos.
También se recomienda cambiar la contraseña predeterminada utilizada para proteger la interfaz web y «segmentar y aislar el dispositivo Akuvox del resto de la red empresarial» para evitar ataques de movimiento lateral.
El desarrollo se produce cuando Wago lanzó parches para varios de sus controladores lógicos programables (PLC) para DIRECCIÓN cuatro vulnerabilidades (CVE-2022-45137, CVE-2022-45138, CVE-2022-45139 y CVE-2022-45140), dos de las cuales podrían explotarse para lograr un compromiso total del sistema.