Araştırmacılar, 100 milyon IoT özellikli cihaza güç sağlayan ThroughTek Kalay Platformunda dört önemli güvenlik açığı keşfetti.
Özellikle, ThroughTek Kalay’ın etkisi, güvenlik kameraları ve diğer cihazlardaki yaygın varlığıyla evleri, şirketleri ve entegratörleri korumanın önemini vurguluyor.
Etkilenen kameralar Roku Indoor Camera SE, Wyze Cam v3 ve Owlet Cam v1 ve v2’dir.
Birleştirildiğinde, CVE-2023-6321, CVE-2023-6322, CVE-2023-6323 ve CVE-2023-6324 olarak takip edilen tanımlanmış güvenlik açıkları, hem uzaktan kod yürütülmesinin kurban cihazını tamamen tehlikeye atmasına hem de içeriden yetkisiz root erişimine olanak tanır. yerel ağ.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
BitDefender araştırmacıları Cyber Security News ile şunları paylaştı: “Bu güvenlik açıkları bir araya getirildiğinde, yerel ağ içinden yetkisiz kök erişimini ve ayrıca kurban cihazını tamamen çökertmek için uzaktan kod yürütülmesini kolaylaştırıyor.”
Önemli Güvenlik Açıklarına Genel Bakış
CVE-2023-6321 Owlet Kamera İşletim Sistemi Komut Ekleme
Bu güvenlik açığı, yetkili bir kullanıcının sistem komutlarını kök kullanıcı olarak yürütmesine olanak tanıyarak aygıtın tamamen ele geçirilmesine olanak tanır.
Danışma belgesinde “Bir saldırgan, bu güvenlik açığını tetiklemek için kimliği doğrulanmış isteklerde bulunabilir” ifadesi yer alıyor.
CVE-2023-6322 Yığın Tabanlı Arabellek Taşması
Saldırganlar, IOCTL mesajının işleyicisindeki (kameralarda hareket algılama bölgelerini yapılandırmak için yaygın olarak kullanılan bir özellik) yığın tabanlı arabellek taşması güvenlik açığı aracılığıyla kök erişimi elde edebilir.
Bu, hareket algılama özelliğine sahip belirli cihazlara özgü bir güvenlik açığıdır.
CVE-2023-6323 ThroughTek Kalay SDK’sı Yetersiz Doğrulama
Bu güvenlik açığı, yerel bir saldırganın AuthKey sırrını izinsiz olarak ele geçirmesinin bir yolunu sunar ve böylece saldırganın kurbanın cihazıyla ilk bağlantısını kolaylaştırır.
PSK Kimliğinin İşlenmesinde CVE-2023-6324 ThroughTek Kalay SDK Hatası
Bu, saldırganların bir DTLS oturumu için önceden paylaşılan anahtarı çıkarmasına olanak tanıyan bir kusurdan yararlanır; bu, hedef cihazlarla bağlantı kurmak ve iletişim kurmak için gerekli bir gereksinimdir.
Etkilenen Satıcılar
Roku Indoor Camera SE, Wyze Cam v3 ve Owlet Cam v1 ve v2’nin etkilenen kameralar olduğu belirlendi.
Öneri
Bitdefender bu güvenlik açıklarını 19 Ekim 2023’te ThroghTek’e bildirdi ve ardından satıcı bunları yamaladı.
Etkilenen cihazların kullanıcılarının mevcut her güncellemeyi güncellediklerinden emin olmaları önerilir.
On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free