Deutsch
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Ungepatchte Null
Eine beliebte intelligente Gegensprechanlage und Bildtelefon des chinesischen Unternehmens Akuvox, das E11, weist mehr als ein Dutzend Schwachstellen auf, darunter einen kritischen Fehler, der eine nicht authentifizierte Remote Code Execution (RCE) ermöglicht.
Diese könnten es böswilligen Akteuren ermöglichen, auf das Netzwerk einer Organisation zuzugreifen, vom Gerät aufgenommene Fotos oder Videos zu stehlen, die Kamera und das Mikrofon zu steuern oder sogar Türen zu ver- oder entriegeln.
Die Schwachstellen wurden vom Team82 des Sicherheitsunternehmens Claroty entdeckt und hervorgehoben, das auf die Schwachstellen des Geräts aufmerksam wurde, als es in ein Büro umzog, in dem der E11 bereits installiert war.
Die Neugier der Mitglieder von Team82 auf das Gerät führte zu einer umfassenden Untersuchung, als sie 13 Schwachstellen aufdeckten, die sie basierend auf dem verwendeten Angriffsvektor in drei Kategorien einteilten.
Die ersten beiden Arten können entweder durch RCE innerhalb des lokalen Netzwerks oder durch Fernaktivierung der Kamera und des Mikrofons des E11 erfolgen, wodurch der Angreifer Multimedia-Aufzeichnungen sammeln und herausfiltern kann. Der dritte Angriffsvektor zielt auf den Zugriff auf einen externen, unsicheren FTP-Server (File Transfer Protocol) ab, der es dem Akteur ermöglicht, gespeicherte Bilder und Daten herunterzuladen.
Was die Bugs betrifft, die am meisten auffallen, gibt es eine kritische Bedrohung – CVE-2023-0354 mit einem CVSS-Score von 9,1 –, die den Zugriff auf den E11-Webserver ohne Benutzerauthentifizierung ermöglicht und einem Angreifer möglicherweise einfachen Zugriff auf vertrauliche Informationen ermöglicht.
„Auf den Akuvox E11-Webserver kann ohne Benutzerauthentifizierung zugegriffen werden, und dies könnte es einem Angreifer ermöglichen, auf vertrauliche Informationen zuzugreifen sowie Paketerfassungen mit bekannten Standard-URLs zu erstellen und herunterzuladen“, so die Cybersecurity and Infrastructure Security Agency (CISA). , das einen Hinweis zu den Fehlern veröffentlichte, einschließlich einer Übersicht über die Schwachstellen.
Eine weitere bemerkenswerte Schwachstelle (CVE-2023-0348, mit einem CVSS-Score von 7,5) betrifft die mobile SmartPlus-App, die iOS- und Android-Benutzer herunterladen können, um mit dem E11 zu interagieren.
Das Kernproblem liegt in der Implementierung des Open-Source-Session-Initiation-Protokolls (SIP) durch die App, um die Kommunikation zwischen zwei oder mehr Teilnehmern über IP-Netzwerke zu ermöglichen. Der SIP-Server überprüft nicht die Berechtigung von SmartPlus-Benutzern, eine Verbindung zu einem bestimmten E11 herzustellen, was bedeutet, dass jede Person mit installierter App eine Verbindung zu jedem E11 herstellen kann, der mit dem Internet verbunden ist – auch zu solchen, die sich hinter einer Firewall befinden.
„Wir haben dies mithilfe der Gegensprechanlage in unserem Labor und einer weiteren am Büroeingang getestet“, heißt es im Claroty-Bericht. „Jede Gegensprechanlage ist mit unterschiedlichen Konten und unterschiedlichen Parteien verknüpft. Tatsächlich konnten wir die Kamera und das Mikrofon aktivieren, indem wir einen SIP-Anruf vom Konto des Labors an die Gegensprechanlage an der Tür tätigten.“
Team82 erläuterte seine Versuche, Akuvox ab Januar 2022 auf die Schwachstellen aufmerksam zu machen, doch nach mehreren Kontaktaufnahmeversuchen wurde Clarotys Konto beim Anbieter gesperrt. Anschließend veröffentlichte Team82 einen technischen Blog, in dem die Zero-Day-Schwachstellen detailliert beschrieben wurden, und beteiligte sich an dem CERT Coordination Center (CERT/CC) und CISA.
Organisationen, die die E11 verwenden, wird empfohlen, sie vom Internet zu trennen, bis die Schwachstellen behoben sind, oder auf andere Weise sicherzustellen, dass die Kamera keine sensiblen Informationen aufzeichnen kann.
Innerhalb des lokalen Netzwerks „wird Organisationen empfohlen, das Akuvox-Gerät zu segmentieren und vom Rest des Unternehmensnetzwerks zu isolieren“, heißt es im Claroty-Bericht. „Das Gerät sollte sich nicht nur in einem eigenen Netzwerksegment befinden, sondern die Kommunikation zu diesem Segment sollte auch auf eine minimale Liste von Endpunkten beschränkt sein.“
Eine Welt zunehmend vernetzter Geräte hat eine riesige Angriffsfläche für raffinierte Angreifer geschaffen.
Allein die Zahl der industriellen Internet-of-Things-Verbindungen (IoT) – ein Maß für die Gesamtzahl der eingesetzten IoT-Geräte – wird sich laut Juniper Research voraussichtlich auf 36,8 Milliarden im Jahr 2025 mehr als verdoppeln, gegenüber 17,7 Milliarden im Jahr 2020.
Und obwohl sich das National Institute of Standards and Technology (NIST) auf einen Standard für die Verschlüsselung der IoT-Kommunikation geeinigt hat, sind viele Geräte weiterhin anfällig und nicht gepatcht.
Akuvox ist das neueste in einer langen Reihe von Anbietern, bei denen erhebliche Mängel in puncto Gerätesicherheit festgestellt wurden. Beispielsweise wurde letztes Jahr eine kritische RCE-Schwachstelle in IP-Videokameras von Hikvision aufgedeckt.
Und im vergangenen November ermöglichte eine Schwachstelle in einer Reihe beliebter digitaler Türöffnungssysteme von Aiphone Hackern den Zugriff auf die Zugangssysteme – einfach durch die Verwendung eines Mobilgeräts und eines NFC-Tags (Near Field Communication).