Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Zéro non corrigé
Un interphone et visiophone intelligent populaire de la société chinoise Akuvox, le E11, est criblé de plus d'une douzaine de vulnérabilités, dont un bug critique qui permet l'exécution de code à distance (RCE) non authentifié.
Ceux-ci pourraient permettre à des acteurs malveillants d'accéder au réseau d'une organisation, de voler des photos ou des vidéos capturées par l'appareil, de contrôler la caméra et le microphone, ou même de verrouiller ou déverrouiller des portes.
Les vulnérabilités ont été découvertes et mises en évidence par la société de sécurité Claroty's Team82, qui a pris conscience des faiblesses de l'appareil lors de son emménagement dans un bureau où le E11 était déjà installé.
La curiosité des membres de Team82 pour l'appareil s'est transformée en une enquête approfondie puisqu'ils ont découvert 13 vulnérabilités, qu'ils ont divisées en trois catégories en fonction du vecteur d'attaque utilisé.
Les deux premiers types peuvent se produire soit via RCE au sein du réseau local, soit par l'activation à distance de la caméra et du microphone de l'E11, permettant à l'attaquant de collecter et d'exfiltrer des enregistrements multimédia. Le troisième vecteur d’attaque cible l’accès à un serveur FTP (File Transfer Protocol) externe et non sécurisé, permettant à l’acteur de télécharger des images et des données stockées.
En ce qui concerne les bugs les plus marquants, une menace critique – CVE-2023-0354, avec un score CVSS de 9,1 – permet d'accéder au serveur Web E11 sans aucune authentification de l'utilisateur, donnant potentiellement à un attaquant un accès facile aux informations sensibles.
"Le serveur Web Akuvox E11 est accessible sans aucune authentification de l'utilisateur, ce qui pourrait permettre à un attaquant d'accéder à des informations sensibles, ainsi que de créer et de télécharger des captures de paquets avec des URL par défaut connues", selon l'Agence de cybersécurité et de sécurité des infrastructures (CISA). , qui a publié un avis sur les bogues, comprenant un aperçu des vulnérabilités.
Une autre vulnérabilité à noter (CVE-2023-0348, avec un score CVSS de 7,5) concerne l'application mobile SmartPlus que les utilisateurs iOS et Android peuvent télécharger pour interagir avec le E11.
Le problème principal réside dans la mise en œuvre par l'application du protocole SIP (Session Initiation Protocol) open source pour permettre la communication entre deux ou plusieurs participants sur les réseaux IP. Le serveur SIP ne vérifie pas l'autorisation des utilisateurs de SmartPlus à se connecter à un E11 particulier, ce qui signifie que toute personne disposant de l'application installée peut se connecter à n'importe quel E11 connecté au Web, y compris ceux situés derrière un pare-feu.
"Nous avons testé cela en utilisant l'interphone de notre laboratoire et un autre à l'entrée du bureau", selon le rapport Claroty. "Chaque interphone est associé à différents comptes et différents interlocuteurs. Nous avons en effet pu activer la caméra et le microphone en passant un appel SIP depuis le compte du laboratoire vers l'interphone de la porte."
Team82 a décrit ses tentatives pour attirer l'attention d'Akuvox sur les vulnérabilités, à partir de janvier 2022, mais après plusieurs tentatives de sensibilisation, le compte de Claroty auprès du fournisseur a été bloqué. Team82 a ensuite publié un blog technique détaillant les vulnérabilités du jour zéro et a impliqué le centre de coordination du CERT (CERT/CC) et le CISA.
Il est conseillé aux organisations utilisant l'E11 de le déconnecter d'Internet jusqu'à ce que les vulnérabilités soient corrigées, ou de s'assurer que la caméra n'est pas capable d'enregistrer des informations sensibles.
Au sein du réseau local, « il est conseillé aux organisations de segmenter et d'isoler l'appareil Akuvox du reste du réseau d'entreprise », selon le rapport Claroty. "Non seulement l'appareil doit résider sur son propre segment de réseau, mais la communication avec ce segment doit être limitée à une liste minimale de points de terminaison."
Un monde d’appareils de plus en plus connectés a créé une vaste surface d’attaque pour des adversaires sophistiqués.
Le nombre de connexions industrielles à l’Internet des objets (IoT) – une mesure du nombre total d’appareils IoT déployés – devrait plus que doubler pour atteindre 36,8 milliards en 2025, contre 17,7 milliards en 2020, selon Juniper Research.
Et même si le National Institute of Standards and Technology (NIST) a adopté une norme pour le cryptage des communications IoT, de nombreux appareils restent vulnérables et non corrigés.