Belkin’in Wemo Mini Akıllı Fişinin ikinci nesil sürümünün, bir tehdit aktörü tarafından uzaktan rasgele komutlar enjekte etmek için silah haline getirilebilecek bir arabellek taşması güvenlik açığı içerdiği bulundu.
Tanımlayıcı atanan sorun CVE-2023-272179 Ocak 2023’te İsrail IoT güvenlik şirketi Sternum tarafından keşfedildi ve Belkin’e bildirildi.
Wemo Mini Smart Plug V2 (F7C063), kullanıcıların bir akıllı telefona veya tablete yüklenen eşlik eden bir uygulamayı kullanarak elektronik cihazları açmasına veya kapatmasına olanak tanıyan kullanışlı bir uzaktan kumanda sunar.
Sorunun özü, akıllı fişi daha fazla ” olarak yeniden adlandırmayı mümkün kılan bir özellikte yatmaktadır.DostAdı.” Atanan varsayılan ad “Wemo mini 6E9.”
The Hacker News ile paylaşılan bir raporda güvenlik araştırmacıları Amit Serper ve Reuven Yakar, “Ad uzunluğu 30 veya daha az karakterle sınırlıdır, ancak bu kural yalnızca uygulamanın kendisi tarafından uygulanır.” kod.
Sonuç olarak, pyWeMo adlı bir Python modülünü kullanarak karakter sınırını aşmak, arabellek taşmasına neden olabilir; bu durum, daha sonra güvenilir bir şekilde cihazı çökertmek için kullanılabilir veya alternatif olarak, kodu kandırarak kötü amaçlı komutlar çalıştırabilir ve kontrolü ele geçirebilir.
Belkin, bulgulara yanıt olarak, cihazın kullanım ömrünün sonuna (EoL) gelmesi ve daha yeni modellerle değiştirilmesi nedeniyle kusuru gidermeyi planlamadığını söyledi.
Araştırmacılar, “Görünüşe göre bu güvenlik açığı Bulut arayüzü aracılığıyla (yani cihaza doğrudan bir bağlantı olmadan) tetiklenebilir” diye uyardı.
Bir düzeltme olmadığında, Wemo Mini Smart Plug V2 kullanıcılarının kendilerini doğrudan internete maruz bırakmaktan kaçınmaları ve hassas ağlarda konuşlandırılmışlarsa uygun segmentasyon önlemlerinin uygulandığından emin olmaları önerilir.
“Cihazlar herhangi bir cihaz üstü koruma olmadan gönderildiğinde böyle olur. Bugün çoğu cihaz üreticisinin yaptığı gibi, yalnızca duyarlı güvenlik düzeltme ekine güvenirseniz, iki şey kesindir: her zaman saldırganın bir adım arkasında olacaksınız ve bir gün Sternum’un pazarlamadan sorumlu başkan yardımcısı Igal Zeifman, yamaların gelmesini durduracak” dedi.