Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Zero sem patch
Um popular intercomunicador e videofone inteligente da empresa chinesa Akuvox, o E11, está repleto de mais de uma dúzia de vulnerabilidades, incluindo um bug crítico que permite a execução remota de código (RCE) não autenticada.
Isso pode permitir que atores mal-intencionados acessem a rede de uma organização, roubem fotos ou vídeos capturados pelo dispositivo, controlem a câmera e o microfone ou até mesmo tranquem ou destranquem portas.
As vulnerabilidades foram descobertas e destacadas pela Team82 da empresa de segurança Claroty, que tomou conhecimento das fragilidades do aparelho ao se mudar para um escritório onde o E11 já havia sido instalado.
A curiosidade dos membros do Team82 sobre o dispositivo se transformou em uma investigação completa ao descobrirem 13 vulnerabilidades, que foram divididas em três categorias com base no vetor de ataque usado.
Os dois primeiros tipos podem ocorrer por meio de RCE na rede local ou por ativação remota da câmera e do microfone do E11, permitindo ao invasor coletar e exfiltrar gravações multimídia. O terceiro vetor de ataque tem como alvo o acesso a um servidor externo e inseguro de protocolo de transferência de arquivos (FTP), permitindo ao ator baixar imagens e dados armazenados.
No que diz respeito aos bugs que mais se destacam, uma ameaça crítica – CVE-2023-0354, com uma pontuação CVSS de 9,1 – permite que o servidor Web E11 seja acessado sem qualquer autenticação do usuário, potencialmente dando ao invasor acesso fácil a informações confidenciais.
“O servidor Web Akuvox E11 pode ser acessado sem qualquer autenticação de usuário, e isso pode permitir que um invasor acesse informações confidenciais, bem como crie e baixe capturas de pacotes com URLs padrão conhecidos”, de acordo com a Agência de Segurança Cibernética e de Infraestrutura (CISA). , que publicou um comunicado sobre os bugs, incluindo uma visão geral da vulnerabilidade.
Outra vulnerabilidade digna de nota (CVE-2023-0348, com pontuação CVSS de 7,5) diz respeito ao aplicativo móvel SmartPlus que usuários de iOS e Android podem baixar para interagir com o E11.
A questão central está na implementação do protocolo de início de sessão (SIP) de código aberto no aplicativo para permitir a comunicação entre dois ou mais participantes em redes IP. O servidor SIP não verifica a autorização dos usuários do SmartPlus para se conectar a um determinado E11, ou seja, qualquer indivíduo com o aplicativo instalado pode se conectar a qualquer E11 conectado à Web — inclusive aqueles localizados atrás de um firewall.
“Testamos isso usando o interfone do nosso laboratório e outro na entrada do escritório”, segundo o relatório da Claroty. "Cada intercomunicador está associado a contas e partes diferentes. Na verdade, conseguimos ativar a câmera e o microfone fazendo uma chamada SIP da conta do laboratório para o intercomunicador na porta."
Team82 descreveu suas tentativas de chamar a atenção do Akuvox para as vulnerabilidades, a partir de janeiro de 2022, mas após várias tentativas de divulgação, a conta da Claroty com o fornecedor foi bloqueada. Posteriormente, o Team82 publicou um blog técnico detalhando as vulnerabilidades de dia zero e envolveu o Centro de Coordenação CERT (CERT/CC) e o CISA.
As organizações que utilizam o E11 são aconselhadas a desconectá-lo da Internet até que as vulnerabilidades sejam corrigidas ou a garantir que a câmera não seja capaz de registrar informações confidenciais.
Dentro da rede local, “as organizações são aconselhadas a segmentar e isolar o dispositivo Akuvox do resto da rede corporativa”, de acordo com o relatório da Claroty. "Não apenas o dispositivo deve residir em seu próprio segmento de rede, mas a comunicação com esse segmento deve ser limitada a uma lista mínima de terminais."
Um mundo de dispositivos cada vez mais conectados criou uma vasta superfície de ataque para adversários sofisticados.
Só o número de ligações industriais à Internet das Coisas (IoT) — uma medida do número total de dispositivos IoT implantados — deverá mais do que duplicar, para 36,8 mil milhões em 2025, contra 17,7 mil milhões em 2020, de acordo com a Juniper Research.
E embora o Instituto Nacional de Padrões e Tecnologia (NIST) tenha estabelecido um padrão para criptografar as comunicações IoT, muitos dispositivos permanecem vulneráveis e sem correção.