آسیب پذیری های تلفن درب هوشمند Leave Privacy Ajar

نوشته شده توسط Team82.

چیزی که به عنوان سفری برای کسب اطلاعات بیشتر در مورد یک اینترکام هوشمند جدید در دفاتر Claroty آغاز شد، به یک پروژه تحقیقاتی گسترده Team82 تبدیل شد، که 13 آسیب‌پذیری را کشف کرد که به مهاجمان اجازه می‌داد تا کد را از راه دور اجرا کنند تا دوربین و میکروفون دستگاه را فعال و کنترل کنند. ویدیو و تصاویر را بدزدید یا جای پایی در شبکه پیدا کنید. 13 آسیب پذیری را می توان از طریق سه بردار حمله اصلی مورد سوء استفاده قرار داد:

• اجرای کد از راه دور در شبکه های محلی
• دوربین و میکروفون دستگاه را از راه دور فعال کنید و اطلاعات را به مهاجم ارسال کنید
• دسترسی به سرور FTP خارجی و ناامن و دانلود تصاویر و داده های ذخیره شده

این دستگاه، Akuvox E11، پس از تلاش‌های ناموفق بسیاری برای تماس و هماهنگی افشای اطلاعات با فروشنده چینی، یک رهبر جهانی در دستگاه‌های مخفی هوشمند مبتنی بر SIP، بدون اصلاح باقی می‌ماند. تلاش های ما برای دسترسی به Akuvox در ژانویه 2022 آغاز شد و در طول مسیر چندین بلیط پشتیبانی توسط Team82 باز شد و بلافاصله توسط فروشنده بسته شد قبل از اینکه حساب ما در 27 ژانویه 2022 در نهایت مسدود شود.

ما مرکز هماهنگی CERT (CERT/CC) را درگیر کردیم، که همچنین چندین بار تلاش کرد تا با فروشنده تماس بگیرد بی‌فایده بود. پس از ماه‌ها تلاش ناموفق، یافته‌های خود را در دسامبر به ICS-CERT فاش کردیم. ICS-CERT همچنین در کار با Akuvox موفقیتی نداشت و امروز یک توصیه‌ای منتشر کرد که در آن 13 آسیب‌پذیری یافت شده توسط Team82 توضیح داده شد. پیامدهای این نقص‌ها از عدم احراز هویت، کلیدهای رمزگذاری سخت، مجوزهای گمشده یا نامناسب، و قرار گرفتن اطلاعات حساس در معرض کاربران غیرمجاز متغیر است.

امروز، Team82 همچنین یک وبلاگ فنی منتشر کرد که برخی از جزئیات این آسیب‌پذیری‌های روز صفر را شرح می‌داد. ما معتقدیم که به نفع جامعه کاربران است که این اطلاعات را به اشتراک بگذارند، به این امید که کاربران بتوانند اقدامات پیشگیرانه ای برای دفاع از سازمان خود انجام دهند، خواه با انجام اقدامات اصلاحی توصیه شده در زیر، دور انداختن دستگاه به طور کلی، یا تحت فشار قرار دادن فروشنده برای آدرس دادن واقعی باشد. این آسیب پذیری ها

سفر پژوهشی ما

مانند اکثر استارتاپ های موفق، کلاروتی به سرعت از فضای اداری خود پیشی گرفت. یکی از سورپرایزی‌هایی که در سال گذشته با نقل مکان به مکان جدید و درخشان خود به ما خوش آمد گفت Akuvox E11 بود. در حالی که بسیاری این را خیلی هیجان‌انگیز نمی‌دانند، اما مشاهده یک دستگاه تلفن هوشمند و دوربین متصل به کابل اترنت باعث می‌شود قلب محقق امنیتی و آسیب‌پذیری سریع‌تر پمپاژ کند.

اولین ایده ما در بررسی این دستگاه متصل جدید این بود که بفهمیم آیا این می تواند زندگی تیم ما را ساده تر کند یا خیر. به عنوان مثال، داشتن دفتری در نزدیکی نزدیک‌ترین ورودی به دفتر به این معنی است که اگر مسئول پذیرش در اطراف نباشد، زمان زیادی را از روی میز خود بالا و پایین صرف می‌کنیم تا به افراد اجازه ورود بدهیم. این سرگرم کننده نیست.

ما تصمیم گرفتیم به دنبال یک API باشیم که بتوانیم از آن برای باز کردن در استفاده کنیم. با توجه به اینکه این یک سیستم مخابره داخلی و درب هوشمند است، باید یکی وجود داشته باشد. خوشبختانه، مجبور نبودیم خیلی عمیق بکاوشیم. درست در مستندات بود.

طولی نکشید که به این نتیجه رسیدیم که این دستگاه به اندازه کافی جالب است که بتوانیم در مورد آن تحقیق کنیم. ما یک دستگاه خریداری کردیم، سیستم عامل را بررسی کردیم، وب سرور محلی را در Raspberry Pi شبیه سازی کردیم و جستجوی خود را برای آسیب پذیری های محیط محلی آغاز کردیم. هنگامی که خود دستگاه وارد شد، توانستیم به سرعت آنچه را که در محیط محلی شبیه‌سازی شده آموخته بودیم برداریم و آن را در دستگاه فیزیکی اعمال کنیم.

نقایصی که ما پیدا کردیم شدید هستند و به طور بالقوه نقض حریم خصوصی را برای سازمان ها و کاربران آسیب دیده ایجاد می کنند. سه بردار حمله وجود دارد که مایلیم به اشتراک بگذاریم:

• اجرای کد از راه دور: دو مورد از آسیب‌پذیری‌های یافت شده توسط Team82 – عدم احراز هویت برای یک تابع حیاتی (CVE-2023-0354)، و یک آسیب‌پذیری تزریق فرمان (CVE-2023-0351) – می‌توانند برای اجرای کد از راه دور در شبکه محلی زنجیره شوند. اگر یک دستگاه آسیب‌پذیر در معرض اینترنت قرار گیرد، مهاجم می‌تواند از این نقص‌ها برای کنترل دستگاه، اجرای کد دلخواه و احتمالاً حرکت جانبی در شبکه سازمانی یا کسب‌وکار کوچک استفاده کند. به گفته وب سایت Akuvox، این دستگاه ها اولین خط دفاعی در خانه های سالمندان، انبارها، ساختمان های آپارتمانی، پارکینگ ها، مراکز درمانی و حتی خانه های یک خانواده هستند.
• دوربین را از راه دور باز کنید: یک آسیب‌پذیری دیگر (CVE-2023-0348) می‌تواند برای فعال کردن دوربین و میکروفون از راه دور، بدون احراز هویت، و انتقال داده‌ها به مهاجم استفاده شود. در سازمان‌های حساس به حریم خصوصی، مانند مراکز مراقبت‌های بهداشتی، این امر می‌تواند سازمان‌ها را در نقض قوانین متعددی قرار دهد که برای تضمین حریم خصوصی بیمار طراحی شده‌اند.
• تصاویر فعال شده با حرکت را از همه اینترکام ها جمع آوری کنید: در این سناریو، از آنجایی که دوربین گوشی دردار با حرکت فعال است، تصاویر گرفته شده و در یک سرور ذخیره سازی فایل های FTP خارجی و ناامن آپلود می شوند. تصاویر قبل از اینکه بطور دوره ای حذف شوند، برای دوره های زمانی روی سرور در دسترس هستند. در این پنجره زمانی، مهاجم می‌تواند تصاویر را از دستگاه‌های مخفی Akuvox که در هر مکانی اجرا می‌شود دانلود کند.

توصیه های کاهش

علیرغم شکست Akuvox در تأیید تلاش‌های افشای متعددی که توسط Team82 و دیگران انجام شده است، ما همچنان تعدادی از اقدامات کاهشی را توصیه می‌کنیم.

اول این است که اطمینان حاصل شود که دستگاه Akuvox یک سازمان در معرض اینترنت نیست تا بردار حمله از راه دور فعلی را که در دسترس عوامل تهدید است، خاموش کند. با این حال، مدیران احتمالا توانایی خود را برای تعامل از راه دور با دستگاه از طریق برنامه تلفن همراه SmartPlus از دست خواهند داد.

در داخل شبکه محلی، به سازمان‌ها توصیه می‌شود که دستگاه Akuvox را از بقیه شبکه‌های سازمانی بخش‌بندی و جدا کنند. این از هرگونه حرکت جانبی که مهاجم با دسترسی به دستگاه ممکن است به دست آورد، جلوگیری می کند. دستگاه نه تنها باید در بخش شبکه خودش باشد، بلکه ارتباط با این بخش باید به حداقل لیستی از نقاط پایانی محدود شود. علاوه بر این، فقط پورت های مورد نیاز برای پیکربندی دستگاه باید باز شوند. همچنین توصیه می کنیم که پورت UDP 8500 را برای ترافیک ورودی غیرفعال کنید، زیرا به پروتکل کشف دستگاه نیازی نیست.

در نهایت، توصیه می کنیم رمز عبور پیش فرض محافظت از رابط وب را تغییر دهید. در حال حاضر رمز عبور ضعیف است و در اسناد دستگاه موجود است که در دسترس عموم است.