Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Zero senza patch
Un popolare citofono e videotelefono intelligente della società cinese Akuvox, l'E11, è pieno di più di una dozzina di vulnerabilità, incluso un bug critico che consente l'esecuzione di codice remoto (RCE) non autenticato.
Questi potrebbero consentire ad autori malintenzionati di accedere alla rete di un'organizzazione, rubare foto o video catturati dal dispositivo, controllare la fotocamera e il microfono o persino bloccare o sbloccare le porte.
Le vulnerabilità sono state scoperte ed evidenziate dalla Team82 della società di sicurezza Claroty, che si è accorta dei punti deboli del dispositivo quando si è trasferita in un ufficio dove l'E11 era già stato installato.
La curiosità dei membri del Team82 nei confronti del dispositivo si è trasformata in un'indagine in piena regola, scoprendo 13 vulnerabilità, che hanno suddiviso in tre categorie in base al vettore di attacco utilizzato.
I primi due tipi possono avvenire tramite RCE all'interno della rete locale o tramite l'attivazione remota della fotocamera e del microfono dell'E11, consentendo all'aggressore di raccogliere ed esfiltrare registrazioni multimediali. Il terzo vettore di attacco prende di mira l’accesso a un server FTP (File Transfer Protocol) esterno e non sicuro, consentendo all’autore del attacco di scaricare immagini e dati archiviati.
Per quanto riguarda i bug che risaltano di più, una minaccia critica – CVE-2023-0354, con un punteggio CVSS di 9,1 – consente l’accesso al server Web E11 senza alcuna autenticazione dell’utente, fornendo potenzialmente a un utente malintenzionato un facile accesso a informazioni sensibili.
"È possibile accedere al server Web Akuvox E11 senza alcuna autenticazione dell'utente e ciò potrebbe consentire a un utente malintenzionato di accedere a informazioni sensibili, nonché di creare e scaricare acquisizioni di pacchetti con URL predefiniti noti", secondo la Cybersecurity and Infrastructure Security Agency (CISA) , che ha pubblicato un avviso sui bug, inclusa una panoramica delle vulnerabilità.
Un'altra vulnerabilità degna di nota (CVE-2023-0348, con un punteggio CVSS di 7,5) riguarda l'app mobile SmartPlus che gli utenti iOS e Android possono scaricare per interagire con l'E11.
Il problema principale risiede nell'implementazione da parte dell'app del Session Initiation Protocol (SIP) open source per consentire la comunicazione tra due o più partecipanti su reti IP. Il server SIP non verifica l'autorizzazione degli utenti SmartPlus a connettersi a un particolare E11, il che significa che qualsiasi individuo con l'app installata può connettersi a qualsiasi E11 connesso al Web, compresi quelli situati dietro un firewall.
"Lo abbiamo testato utilizzando l'interfono nel nostro laboratorio e un altro all'ingresso dell'ufficio", secondo il rapporto Claroty. "Ogni citofono è associato a diversi account e a diversi interlocutori. Siamo riusciti infatti ad attivare la telecamera e il microfono effettuando una chiamata SIP dall'account del laboratorio al citofono alla porta."
Team82 ha delineato i propri tentativi di portare le vulnerabilità all'attenzione di Akuvox, a partire da gennaio 2022, ma dopo diversi tentativi di sensibilizzazione, l'account di Claroty presso il venditore è stato bloccato. Team82 ha successivamente pubblicato un blog tecnico che descrive dettagliatamente le vulnerabilità zero-day e ha coinvolto il Centro di coordinamento CERT (CERT/CC) e CISA.
Si consiglia alle organizzazioni che utilizzano la E11 di disconnetterla da Internet fino a quando le vulnerabilità non verranno risolte o di garantire in altro modo che la fotocamera non sia in grado di registrare informazioni sensibili.
All'interno della rete locale, "si consiglia alle organizzazioni di segmentare e isolare il dispositivo Akuvox dal resto della rete aziendale", secondo il rapporto Claroty. "Non solo il dispositivo dovrebbe risiedere sul proprio segmento di rete, ma la comunicazione con questo segmento dovrebbe essere limitata a un elenco minimo di endpoint."
Un mondo di dispositivi sempre più connessi ha creato una vasta superficie di attacco per avversari sofisticati.
Secondo Juniper Research, il solo numero di connessioni industriali dell’Internet of Things (IoT), una misura del numero totale di dispositivi IoT distribuiti, dovrebbe più che raddoppiare arrivando a 36,8 miliardi nel 2025, rispetto ai 17,7 miliardi del 2020.
E sebbene il National Institute of Standards and Technology (NIST) abbia definito uno standard per crittografare le comunicazioni IoT, molti dispositivi rimangono vulnerabili e privi di patch.