Сетевые умные устройства уже давно перестали быть простыми помощниками, превратившись в потенциальных врагов. С каждым новым термостатом или телевизором, подключенным к интернету, в нашей цифровой инфраструктуре появляется новая брешь. Очередная угроза была обнаружена в популярных термостатах X-Series WiFi. Эта уязвимость оценена в 9.8 баллов из 10 по шкале CVSS, что делает её критической. Если такое устройство подключено к интернету, оно становится беззащитным. Даже за брандмауэром оно может быть использовано в качестве точки доступа к корпоративной или промышленной сети. По словам эксперта по кибербезопасности Sovik Kandar из MicroSec, веб-сервер, интегрированный в эти термостаты, не требует аутентификации. Атакующему достаточно быть подключенным к той же сети или получить доступ через переадресацию портов, чтобы удалить учетные данные и получить полный контроль над устройством. Этот сценарий вполне возможен, особенно в среде, где устройства IoT редко получают обновления и часто остаются без внимания. Это не первая атака на термостаты. Год назад устройства Bosch столкнулись с подобной угрозой: они позволяли загружать произвольную прошивку и полностью компрометировать устройство. Проблема заключается в общей архитектуре IoT. Эти устройства не защищены по умолчанию, и их распространение в критически важных зонах, от офисов до производственных предприятий, делает их удобной площадкой для атак. Но это ещё не всё. В том же отчете представитель MicroSec раскрыл ещё одну опасную уязвимость, на этот раз в системах видеонаблюдения LG Innotek. Устаревшая модель LNV5110R до сих пор активно используется в коммерческих помещениях, несмотря на то, что уже снята с поддержки. Уязвимость позволяет удаленно выполнять произвольный код на уровне администратора. Этот баг достаточен для загрузки специального HTTP POST запроса в неистребимую память камеры, что открывает двери к полному контролю над системой видеонаблюдения, с возможностью установки троянов, скрытого видеонаблюдения или доступа к другим сегментам сети. Но, по мнению Kandar, это ещё не все опасности, которые нас поджидают.
—
📰 Источник: redhotcyber.com
Адаптировано и переведено с оригинала
