Эксперты Positive Technologies обнаружили опасные уязвимости в роботах-пылесосах

19 июль 2018 18:40 #70672 от ICT
Специалисты Positive Technologies Леонид Кролле и Георгий Зайцев выявили уязвимости в роботах-пылесосах Dongguan Diqee 360. Этим проблемам могут быть подвержены пылесосы, выпускаемые Dongguan Diqee как под своей маркой, так и изготовленные для других производителей. «Владельцы устройств интернета вещей не всегда меняют логин и пароль, установленные производителем. Проблема касается даже роутеров, где в 15 случаях из 100 оставляют заводские пароли. Поэтому исследованный пылесос, как и любой iot-девайс, может пополнить армию ботнетов для участия в DDoS-атаках, — отметил Георгий Зайцев, специалист отдела анализа приложений Positive Technologies. — Но для владельца это меньшее из зол. Учитывая наличие Wi-Fi-приемника, веб-камеры с поддержкой режима ночного видения и системы управления местоположением со смартфона, злоумышленник получает возможность скрытно наблюдать за владельцем, передвигая пылесос в необходимую ему точку в квартире». Первая угроза CVE-2018-10987 связана с возможностью удаленного выполнения кода на устройстве. Злоумышленник может обнаружить пылесос в сети, подобрав его MAC-адрес, и отправить специально сформированный запрос, в результате которого на пылесосе будет выполнена команда с правами суперпользователя. Ошибка присутствует в функции REQUEST_SET_WIFIPASSWD (команда UDP 153). Для атаки необходима аутентификация на устройстве; получению доступа способствуют предустановленные сочетания логина и пароля (admin: 888888) на многих экземплярах данной модели. Вторая уязвимость CVE-2018-10988 имеет локальный характер: атакующий может использовать недостатки механизма обновления пылесоса с помощью microSD-карты. После установки карты в корпус пылесоса система обновления запускает файл прошивки из папки upgrade_360 без проверки цифровой подписи и с правами суперпользователя. Хакер может записать специально сформированный скрипт на microSD-карту в папку upgrade_360, вставить ее в пылесос, перезапустить его — и получить возможность удаленного выполнения кода на устройстве. На устройство, в частности, может быть установлен сниффер для перехвата конфиденциальных данных в сетевом трафике. По оценкам экспертов Positive Technologies, этим ошибкам могут быть подвержены и другие устройства, функционирующие на базе видеомодулей, использованных в пылесосах Dongguan Diqee 360, — камеры наружного видеонаблюдения, видеорегистраторы, умные дверные звонки. Это не первый случай, когда исследователи из Positive Technologies выявляют уязвимости в подобных устройствах. В 2017 г. эксперт компании обнаружил критически опасную уязвимость во встроенном программном обеспечении IP-камер компании Dahua, которые широко используются для видеонаблюдения в банковском секторе, энергетике, телекоммуникациях, на транспорте, в умных домах. Ошибка давала возможность перехватить и модифицировать видеотрафик с огромного количества IP-камер по всему миру. Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Эксперты Positive Technologies обнаружили уязвимости в решениях SAP30.71Понедельник, 24 апреля 2017
    Positive Technologies обнаружила опасные уязвимости в оборудовании Siemens для электроподстанций25.57Вторник, 10 апреля 2018
    В Windows 10 закрыты две опасные уязвимости, найденные экспертом Positive Technologies25.57Пятница, 22 марта 2019
    Positive Technologies выявила критически опасные уязвимости в источниках бесперебойного питания APC25.3Пятница, 20 апреля 2018
    Positive Technologies помогла устранить опасные уязвимости в ПО SafenSoft для защиты банкоматов25.3Четверг, 23 августа 2018
    Эксперты Kaspersky Lab ICS CERT обнаружили уязвимости в SafeNet Sentinel19.07Понедельник, 22 января 2018
    Positive Technologies: уязвимости в тренде18.34Среда, 15 февраля 2023
    Positive Technologies выявила множественные уязвимости в продуктах SAP17.94Среда, 04 октября 2017
    Positive Technologies обнаружила уязвимости в коммутаторах Hirschmann17.94Пятница, 27 апреля 2018
    В банкоматах NCR устранены уязвимости, обнаруженные Positive Technologies17.94Пятница, 10 августа 2018

    Мы в соц. сетях