这些漏洞是由一家名为Claroty的安全公司发现并公开的。当Team82的成员进入一家安装了E11的办公室时,他们对该设备产生了浓厚的兴趣,并对其进行了深入调查,最终发现了13个漏洞,这些漏洞被分为三种攻击类型。
前两种攻击类型可以通过本地区域网络中的RCE漏洞或通过远程激活E11的摄像头和麦克风来进行攻击,并且允许攻击者收集和泄露多媒体记录。第三个攻击矢量则是专注于访问外部不安全的文件传输协议(FTP)服务器,该协议允许攻击者下载存储的图像和数据。
为了保护机构免受此类攻击,使用E11设备的组织应该立即采取措施来修复这些漏洞。如果您使用E11设备,您应该注意升级到最新版本并采取其他安全措施,例如限制设备的公网访问,禁用不必要的功能等。
Akuvox 311包含一个关键的RCE漏洞
其中一个关键的漏洞--CVE-2023-0354,CVSS评分为9.1,它允许在没有任何用户认证的情况下访问E11网络服务器,这个可能会让攻击者轻松访问内部的敏感信息。
网络安全和基础设施安全局(CISA)称,Akuvox E11网络服务器可以在没有任何用户认证的情况下被访问,这可能会允许攻击者访问敏感信息,以及创建和下载已知默认URL的文件,该局还发布了一份关于这些漏洞的公告,其中包括漏洞概述。
另一个值得注意的漏洞(CVE-2023-0348,CVSS评分为7.5)影响到了SmartPlus移动应用程序,iOS和Android用户可以用它来与E11互动。主要问题是,该应用程序使用开源的会话初始协议(SIP),允许两个或多个参与者在IP网络上进行通信。SIP服务器并不验证SmartPlus用户连接到特定E11的授权信息,这意味着任何安装了该应用的人都可以连接到任何接入到互联网的E11,甚至是防火墙后面的E11。
根据Claroty的报告,我们用实验室的对讲机和办公室门口的另一个对讲机对此进行了测试,每个对讲机都与不同的账户和不同的使用者相关。事实上,我们能够通过从实验室的账户向门口的对讲机拨打SIP电话来激活摄像头和麦克风。
未修补的Akuvox安全漏洞
从2022年1月开始,Team82详细介绍了他们为使Akuvox注意到这些漏洞所做的努力,但在几次外联尝试后,Claroty在该供应商的账户被封锁了。在此之后,Team82发表了一篇技术博客,详细介绍了该零日漏洞,并争取到了CERT协调中心(CERT/CC)和CISA的帮助。
使用E11的组织应将其从互联网上断开,直到漏洞得到修复,或确保该相机不会记录敏感信息。根据Claroty的报告,它建议企业在局域网内将Akuvox设备与企业网络的其他部分分割和隔离。该设备不仅要限制在自己的网段上进行通信,而且与该网段的通信都应限制在最小的范围之内。
目前,这样一个连接设备越来越多的世界为攻击者提供了一个巨大的攻击面。按照Juniper Research的说法,仅工业物联网(IoT)连接的数量(该数值是衡量物联网设备部署总量的标准),预计将从2020年的177亿增加到2025年的368亿,增加了一倍多。
而且,尽管美国国家标准与技术研究所(NIST)已经就物联网通信的加密标准达成一致,但许多设备仍然还有漏洞,没有进行打补丁处理。Akuvox是众多被发现的缺乏设备安全性的最新产品。例如,去年,海康威视IP视频摄像机的一个关键RCE漏洞被披露。
参考及来源:https://www.cysecurity.news/2023/03/unpatched-akuvox-smart-intercom-flaws.html