Una vulnerabilità nel sistema di sicurezza domestica all-in-one di Abode potrebbe consentire a malintenzionati di spegnere da remoto le telecamere di sicurezza dei clienti.

Iota All-In-One Security Kit di Abode è un sistema di sicurezza domestica fai-da-te che include una telecamera di sicurezza principale, sensori di movimento che possono essere attaccati a porte e finestre e un hub che può avvisare gli utenti di movimenti indesiderati nelle loro case. Si integra anche con hub intelligenti di terze parti come Google Home, Amazon Alexa e Apple HomeKit.

Questa settimana i ricercatori dell’unità di cybersicurezza Talos di Cisco divulgato diverse vulnerabilità nel sistema di sicurezza di Abode, tra cui una falla di bypass dell’autenticazione di livello critico che potrebbe consentire a chiunque di attivare da remoto diverse funzioni sensibili del dispositivo senza bisogno di una password, aggirando il meccanismo di autenticazione dei dispositivi.

La falla, classificata come CVE-2022-27805 e a cui è stato assegnato un punteggio di gravità della vulnerabilità pari a 9,8 su 10, si trova nel servizio UDP – un protocollo di comunicazione utilizzato per stabilire connessioni a bassa latenza tra le applicazioni su Internet – responsabile della gestione delle modifiche alla configurazione in remoto.

Come spiega Matt Wiseman, ricercatore senior di sicurezza presso Cisco Talos, la mancanza di controlli di autorizzazione significa che un utente malintenzionato può eseguire comandi da remoto attraverso le applicazioni mobili e web di Abode, come riavviare il dispositivo, cambiare la password di amministrazione e disattivare completamente il sistema di sicurezza.

Wiseman ha dichiarato a TechCrunch che, in generale, il dispositivo colpito dovrebbe essere distribuito in una rete locale e non sarebbe direttamente accessibile via Internet. “L’attacco più probabile è da parte di qualcuno sulla rete locale o se qualcuno ha accesso al dispositivo attraverso la rete di Abode – ad esempio, se ha il nome utente e la password per l’applicazione mobile”.

“Detto questo, potrebbe essere utilizzato in una situazione in cui è direttamente accessibile via Internet o in cui qualcuno instrada specificamente il traffico verso determinati servizi”, ha aggiunto Wiseman.

Giovedì Talos ha rivelato diverse altre vulnerabilità nel sistema di sicurezza di Abode. Tra queste, diverse vulnerabilità classificate 10 che potrebbero essere sfruttate inviando una serie di payload dannosi per eseguire comandi di sistema arbitrari con i massimi privilegi, e una seconda falla di bypass dell’autenticazione che potrebbe consentire a un aggressore di accedere a diverse funzioni sensibili del dispositivo, tra cui l’attivazione di un reset di fabbrica, semplicemente impostando una particolare intestazione HTTP su un valore codificato.

Cisco ha inizialmente rivelato la vulnerabilità ad Abode nel mese di luglio e ha reso pubbliche le falle questa settimana dopo che sono state rese disponibili le patch. Si consiglia agli utenti di aggiornare il proprio Iota All-In-One Security Kit alla versione più recente il prima possibile.

In una dichiarazione rilasciata a TechCrunch, Chris Carney, fondatore e CEO di Abode, ha affermato che: “Essendo un’azienda attenta alla sicurezza, ci siamo prontamente adoperati per correggere, affrontare e applicare le patch che sono state scoperte. Questo lavoro è già stato fatto, completato e inviato come aggiornamento ai clienti. Inoltre, non ci sono state segnalazioni da parte dei clienti di Abode relative a queste scoperte”. Carney ha confermato che Abode ha collaborato con Talos per risolvere i problemi di sicurezza.

La notizia delle falle nel sistema di sicurezza domestico connesso a Internet di Abode arriva dopo che questa settimana il governo degli Stati Uniti ha condiviso ulteriori dettagli sui suoi piani per lanciare un programma di etichettatura di sicurezza informatica per i dispositivi Internet of Things dei consumatori per proteggere meglio gli americani da “rischi significativi per la sicurezza nazionale”. L’iniziativa sarà lanciata il prossimo anno per i dispositivi “a più alto rischio”, tra cui le telecamere di sicurezza domestica.

Source link