Немецкая компания AGFEO является очередным производителем устройств «Интернета вещей» (IoT), предлагающим продукты с незащищенным web-интерфейсом.
Исследователи SEC Consult обнаружили в контроллерах для «умных домов» ряд уязвимостей, позволяющих получить неавторизованный доступ к некоторым сервисам, осуществить XSS-атаку, а также получить вшитые ключи шифрования.
Прошивка AGFEO ES 5xx и 6xx имеет три сертификата с привязанными закрытыми ключами, с помощью которых злоумышленники могут получить права администратора. Однако для успешного взлома наличие привилегий администратора вовсе необязательно. Разработчики создали web-сервис для отладки в ES 5xx и забыли удалить его после поступления продукта в продажу.
Согласно уведомлению, сервис «доступен через необычный порт» и работает с правами суперпользователя. Кроме того, есть удобный скрипт для чтения файлов, а значит, можно просмотреть все файлы в операционной системе.
Конфигурационные порты также являются открытыми (TCP 19002, 19004, 19006, 19009, 19010, 19080 и 19081) и предоставляют злоумышленникам возможность читать информацию об устройстве и изменять его конфигурацию. Поскольку имена пользователей и пароли хранятся в БД SQLite, хакеры могут похитить учетные данные всех пользователей. Производитель получил уведомление об уязвимостях в январе текущего года, однако обновления вышли только 30 июня.
Скачайте SafeUM — общайтесь приватно, без рекламы и спама.
Axarhöfði 14,
110 Reykjavik, Iceland