آسیب پذیری های تلفن درب هوشمند Leave Privacy Ajar
نوشته شده توسط Team82.
چیزی که به عنوان سفری برای کسب اطلاعات بیشتر در مورد یک اینترکام هوشمند جدید در دفاتر Claroty آغاز شد، به یک پروژه تحقیقاتی گسترده Team82 تبدیل شد، که 13 آسیبپذیری را کشف کرد که به مهاجمان اجازه میداد تا کد را از راه دور اجرا کنند تا دوربین و میکروفون دستگاه را فعال و کنترل کنند. ویدیو و تصاویر را بدزدید یا جای پایی در شبکه پیدا کنید. 13 آسیب پذیری را می توان از طریق سه بردار حمله اصلی مورد سوء استفاده قرار داد:
- اجرای کد از راه دور در شبکه های محلی
- دوربین و میکروفون دستگاه را از راه دور فعال کنید و اطلاعات را به مهاجم ارسال کنید
- دسترسی به سرور FTP خارجی و ناامن و دانلود تصاویر و داده های ذخیره شده
این دستگاه، Akuvox E11، پس از تلاشهای ناموفق بسیاری برای تماس و هماهنگی افشای اطلاعات با فروشنده چینی، یک رهبر جهانی در دستگاههای مخفی هوشمند مبتنی بر SIP، بدون اصلاح باقی میماند. تلاش های ما برای دسترسی به Akuvox در ژانویه 2022 آغاز شد و در طول مسیر چندین بلیط پشتیبانی توسط Team82 باز شد و بلافاصله توسط فروشنده بسته شد قبل از اینکه حساب ما در 27 ژانویه 2022 در نهایت مسدود شود.
ما مرکز هماهنگی CERT (CERT/CC) را درگیر کردیم، که همچنین چندین بار تلاش کرد تا با فروشنده تماس بگیرد بیفایده بود. پس از ماهها تلاش ناموفق، یافتههای خود را در دسامبر به ICS-CERT فاش کردیم. ICS-CERT همچنین در کار با Akuvox موفقیتی نداشت و امروز یک توصیهای منتشر کرد که در آن 13 آسیبپذیری یافت شده توسط Team82 توضیح داده شد. پیامدهای این نقصها از عدم احراز هویت، کلیدهای رمزگذاری سخت، مجوزهای گمشده یا نامناسب، و قرار گرفتن اطلاعات حساس در معرض کاربران غیرمجاز متغیر است.
امروز، Team82 همچنین یک وبلاگ فنی منتشر کرد که برخی از جزئیات این آسیبپذیریهای روز صفر را شرح میداد. ما معتقدیم که به نفع جامعه کاربران است که این اطلاعات را به اشتراک بگذارند، به این امید که کاربران بتوانند اقدامات پیشگیرانه ای برای دفاع از سازمان خود انجام دهند، خواه با انجام اقدامات اصلاحی توصیه شده در زیر، دور انداختن دستگاه به طور کلی، یا تحت فشار قرار دادن فروشنده برای آدرس دادن واقعی باشد. این آسیب پذیری ها
سفر پژوهشی ما
مانند اکثر استارتاپ های موفق، کلاروتی به سرعت از فضای اداری خود پیشی گرفت. یکی از سورپرایزیهایی که در سال گذشته با نقل مکان به مکان جدید و درخشان خود به ما خوش آمد گفت Akuvox E11 بود. در حالی که بسیاری این را خیلی هیجانانگیز نمیدانند، اما مشاهده یک دستگاه تلفن هوشمند و دوربین متصل به کابل اترنت باعث میشود قلب محقق امنیتی و آسیبپذیری سریعتر پمپاژ کند.
اولین ایده ما در بررسی این دستگاه متصل جدید این بود که بفهمیم آیا این می تواند زندگی تیم ما را ساده تر کند یا خیر. به عنوان مثال، داشتن دفتری در نزدیکی نزدیکترین ورودی به دفتر به این معنی است که اگر مسئول پذیرش در اطراف نباشد، زمان زیادی را از روی میز خود بالا و پایین صرف میکنیم تا به افراد اجازه ورود بدهیم. این سرگرم کننده نیست.
ما تصمیم گرفتیم به دنبال یک API باشیم که بتوانیم از آن برای باز کردن در استفاده کنیم. با توجه به اینکه این یک سیستم مخابره داخلی و درب هوشمند است، باید یکی وجود داشته باشد. خوشبختانه، مجبور نبودیم خیلی عمیق بکاوشیم. درست در مستندات بود.
طولی نکشید که به این نتیجه رسیدیم که این دستگاه به اندازه کافی جالب است که بتوانیم در مورد آن تحقیق کنیم. ما یک دستگاه خریداری کردیم، سیستم عامل را بررسی کردیم، وب سرور محلی را در Raspberry Pi شبیه سازی کردیم و جستجوی خود را برای آسیب پذیری های محیط محلی آغاز کردیم. هنگامی که خود دستگاه وارد شد، توانستیم به سرعت آنچه را که در محیط محلی شبیهسازی شده آموخته بودیم برداریم و آن را در دستگاه فیزیکی اعمال کنیم.
نقایصی که ما پیدا کردیم شدید هستند و به طور بالقوه نقض حریم خصوصی را برای سازمان ها و کاربران آسیب دیده ایجاد می کنند. سه بردار حمله وجود دارد که مایلیم به اشتراک بگذاریم:
- اجرای کد از راه دور: دو مورد از آسیبپذیریهای یافت شده توسط Team82 – عدم احراز هویت برای یک تابع حیاتی (CVE-2023-0354)، و یک آسیبپذیری تزریق فرمان (CVE-2023-0351) – میتوانند برای اجرای کد از راه دور در شبکه محلی زنجیره شوند. اگر یک دستگاه آسیبپذیر در معرض اینترنت قرار گیرد، مهاجم میتواند از این نقصها برای کنترل دستگاه، اجرای کد دلخواه و احتمالاً حرکت جانبی در شبکه سازمانی یا کسبوکار کوچک استفاده کند. به گفته وب سایت Akuvox، این دستگاه ها اولین خط دفاعی در خانه های سالمندان، انبارها، ساختمان های آپارتمانی، پارکینگ ها، مراکز درمانی و حتی خانه های یک خانواده هستند.
- دوربین را از راه دور باز کنید: یک آسیبپذیری دیگر (CVE-2023-0348) میتواند برای فعال کردن دوربین و میکروفون از راه دور، بدون احراز هویت، و انتقال دادهها به مهاجم استفاده شود. در سازمانهای حساس به حریم خصوصی، مانند مراکز مراقبتهای بهداشتی، این امر میتواند سازمانها را در نقض قوانین متعددی قرار دهد که برای تضمین حریم خصوصی بیمار طراحی شدهاند.
- تصاویر فعال شده با حرکت را از همه اینترکام ها جمع آوری کنید: در این سناریو، از آنجایی که دوربین گوشی دردار با حرکت فعال است، تصاویر گرفته شده و در یک سرور ذخیره سازی فایل های FTP خارجی و ناامن آپلود می شوند. تصاویر قبل از اینکه بطور دوره ای حذف شوند، برای دوره های زمانی روی سرور در دسترس هستند. در این پنجره زمانی، مهاجم میتواند تصاویر را از دستگاههای مخفی Akuvox که در هر مکانی اجرا میشود دانلود کند.
توصیه های کاهش
علیرغم شکست Akuvox در تأیید تلاشهای افشای متعددی که توسط Team82 و دیگران انجام شده است، ما همچنان تعدادی از اقدامات کاهشی را توصیه میکنیم.
اول این است که اطمینان حاصل شود که دستگاه Akuvox یک سازمان در معرض اینترنت نیست تا بردار حمله از راه دور فعلی را که در دسترس عوامل تهدید است، خاموش کند. با این حال، مدیران احتمالا توانایی خود را برای تعامل از راه دور با دستگاه از طریق برنامه تلفن همراه SmartPlus از دست خواهند داد.
در داخل شبکه محلی، به سازمانها توصیه میشود که دستگاه Akuvox را از بقیه شبکههای سازمانی بخشبندی و جدا کنند. این از هرگونه حرکت جانبی که مهاجم با دسترسی به دستگاه ممکن است به دست آورد، جلوگیری می کند. دستگاه نه تنها باید در بخش شبکه خودش باشد، بلکه ارتباط با این بخش باید به حداقل لیستی از نقاط پایانی محدود شود. علاوه بر این، فقط پورت های مورد نیاز برای پیکربندی دستگاه باید باز شوند. همچنین توصیه می کنیم که پورت UDP 8500 را برای ترافیک ورودی غیرفعال کنید، زیرا به پروتکل کشف دستگاه نیازی نیست.
در نهایت، توصیه می کنیم رمز عبور پیش فرض محافظت از رابط وب را تغییر دهید. در حال حاضر رمز عبور ضعیف است و در اسناد دستگاه موجود است که در دسترس عموم است.