Çinli şirket Akuvox’un popüler akıllı interkom ve görüntülü telefonu E11, kimliği doğrulanmamış uzaktan kod yürütmeye (RCE) izin veren kritik bir hata da dahil olmak üzere bir düzineden fazla güvenlik açığıyla dolu.
Bunlar, kötü niyetli kişilerin bir kuruluşun ağına erişmesine, cihaz tarafından çekilen fotoğrafları veya videoları çalmasına, kamera ve mikrofonu kontrol etmesine ve hatta kapıları kilitlemesine veya kilidini açmasına izin verebilir.
Güvenlik açıkları, E11’in zaten kurulu olduğu bir ofise taşındıklarında cihazın zayıflıklarının farkına varan güvenlik şirketi Claroty’s Team82 tarafından keşfedildi ve vurgulandı.
Team82’nin cihazla ilgili merakı, kullanılan saldırı vektörüne göre üç kategoriye ayırdıkları 13 güvenlik açığını ortaya çıkararak tam kapsamlı bir araştırmaya dönüştü.
İlk iki tür, yerel alan ağı içindeki RCE aracılığıyla veya E11’in kamera ve mikrofonunun uzaktan etkinleştirilmesiyle gerçekleşerek saldırganın multimedya kayıtlarını toplamasına ve sızdırmasına olanak tanır. Üçüncü saldırı vektörü, harici, güvenli olmayan bir dosya aktarım protokolü (FTP) sunucusuna erişimi hedefleyerek aktörün depolanan görüntüleri ve verileri indirmesine olanak tanır.
Akuvox 311’de Kritik Bir RCE Hatası
En çok göze çarpan hatalara gelince, kritik bir tehdit — CVSS puanı 9,1 olan CVE-2023-0354 — E11 Web sunucusuna herhangi bir kullanıcı kimlik doğrulaması olmadan erişilmesine olanak tanıyarak potansiyel olarak bir saldırganın hassas bilgilere kolay erişmesini sağlar.
Siber Güvenlik ve Altyapı Güvenliği Ajansı’na (CISA) göre “Akuvox E11 Web sunucusuna herhangi bir kullanıcı kimlik doğrulaması olmadan erişilebilir ve bu, bir saldırganın hassas bilgilere erişmesine ve ayrıca bilinen varsayılan URL’lerle paket yakalamaları oluşturmasına ve indirmesine izin verebilir.” , güvenlik açığına genel bakış da dahil olmak üzere hatalar hakkında bir danışma belgesi yayınladı.
Dikkat edilmesi gereken bir diğer güvenlik açığı (CVE-2023-0348, CVSS puanı 7,5), iOS ve Android kullanıcılarının E11 ile etkileşim kurmak için indirebilecekleri SmartPlus mobil uygulamasıyla ilgilidir.
Temel sorun, uygulamanın IP ağları üzerinden iki veya daha fazla katılımcı arasında iletişimi sağlamak için açık kaynaklı Oturum Başlatma Protokolü’nü (SIP) uygulamasında yatmaktadır. SIP sunucusu, SmartPlus kullanıcılarının belirli bir E11’e bağlanma yetkisini doğrulamaz; bu, uygulamanın yüklü olduğu herhangi bir kişinin, bir güvenlik duvarının arkasında bulunanlar da dahil olmak üzere, Web’e bağlı herhangi bir E11’e bağlanabileceği anlamına gelir.
Claroty raporuna göre “Bunu laboratuvarımızdaki ve ofis girişindeki dahili telefonu kullanarak test ettik.” “Her bir interkom farklı hesaplar ve farklı taraflarla ilişkilidir. Aslında, laboratuvar hesabından kapıdaki dahili telefona bir SIP araması yaparak kamerayı ve mikrofonu etkinleştirebildik.”
Akuvox Güvenlik Açıkları Yamasız Kalıyor
Team82, Ocak 2022’den başlayarak güvenlik açıklarını Akuvox’un dikkatine sunma girişimlerini özetledi, ancak birkaç erişim girişiminden sonra Claroty’nin satıcıyla olan hesabı bloke edildi. Team82 daha sonra sıfır gün güvenlik açıklarını detaylandıran bir teknik blog yayınladı ve CERT Koordinasyon Merkezi (CERT/CC) ve CISA’yı dahil etti.
E11’i kullanan kuruluşlara, güvenlik açıkları giderilene kadar veya kameranın hassas bilgileri kaydedemeyeceğinden emin olmak için İnternet bağlantısını kesmeleri önerilir.
Claroty raporuna göre, yerel alan ağı içinde “kuruluşlara Akuvox cihazını işletme ağının geri kalanından ayırmaları ve ayırmaları tavsiye edilir”. “Aygıt yalnızca kendi ağ segmentinde bulunmamalı, aynı zamanda bu segmente iletişim minimum uç nokta listesiyle sınırlandırılmalıdır.”
Kameralarda ve IoT Cihazlarında Çok Sayıda Hata Var
Giderek daha fazla birbirine bağlanan cihazlar dünyası, sofistike düşmanlar için geniş bir saldırı yüzeyi oluşturdu.
Juniper Research’e göre, yalnızca dağıtılan toplam IoT cihazı sayısının bir ölçüsü olan endüstriyel nesnelerin interneti (IoT) bağlantılarının sayısının, 2020’de 17,7 milyardan iki kattan fazla artarak 2025’te 36,8 milyara ulaşması bekleniyor.
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), IoT iletişimlerini şifrelemek için bir standart belirlemiş olsa da, birçok cihaz savunmasız ve yamasız durumda.
Akuvox, cihaz güvenliği söz konusu olduğunda ciddi şekilde eksik olduğu tespit edilen uzun bir serinin en sonuncusudur. Örneğin, geçen yıl Hikvision IP video kameralardaki kritik bir RCE güvenlik açığı açıklandı.
Ve geçen Kasım ayında, Aiphone tarafından sunulan bir dizi popüler dijital kapı giriş sistemindeki bir güvenlik açığı, bilgisayar korsanlarının, yalnızca bir mobil cihaz ve bir yakın alan iletişimi (NFC) etiketi kullanarak giriş sistemlerini aşmasına olanak sağladı.