Контакты
Подписка
МЕНЮ
Контакты
Подписка

В IoT-устройствах AGFEO обнаружены уязвимости

В IoT-устройствах AGFEO обнаружены уязвимости


13.07.2017

В IoT-устройствах AGFEO обнаружены уязвимости

Немецкая компания AGFEO является очередным производителем устройств "Интернета вещей" (IoT), предлагающим продукты с незащищенным web-интерфейсом. Исследователи SEC Consult обнаружили в контроллерах для "умных домов" ряд уязвимостей, позволяющих получить неавторизованный доступ к некоторым сервисам, осуществить XSS-атаку, а также получить вшитые ключи шифрования.

 Прошивка AGFEO ES 5xx и 6xx имеет три сертификата с привязанными закрытыми ключами, с помощью которых злоумышленники могут получить права администратора. Однако для успешного взлома наличие привилегий администратора вовсе необязательно. Разработчики создали web-сервис для отладки в ES 5xx и забыли удалить его после поступления продукта в продажу. Согласно уведомлению, сервис "доступен через необычный порт" и работает с правами суперпользователя. Кроме того, есть удобный скрипт для чтения файлов, а значит, можно просмотреть все файлы в операционной системе.  

 Конфигурационные порты также являются открытыми (TCP 19002, 19004, 19006, 19009, 19010, 19080 и 19081) и предоставляют злоумышленникам возможность читать информацию об устройстве и изменять его конфигурацию. Поскольку имена пользователей и пароли хранятся в БД SQLite, хакеры могут похитить учетные данные всех пользователей.

 Производитель получил уведомление об уязвимостях в январе текущего года, однако обновления вышли только 30 июня.

 

Securitylab