تم الكشف عن أكثر من عشرة عيوب أمنية في E11 ، وهو منتج اتصال داخلي ذكي من صنع شركة Akuvox الصينية .
وقالت فيرا مينز ، باحثة الأمن في كلاروتي ، في تقرير تقني: "قد تسمح الثغرات الأمنية للمهاجمين بتنفيذ التعليمات البرمجية عن بُعد من أجل تنشيط الكاميرا والميكروفون في الجهاز والتحكم فيهما ، أو سرقة الفيديو والصور ، أو الحصول على موطئ قدم للشبكة".
وصفت الشركة Akuvox E11 على موقعها على الإنترنت بأنه " هاتف باب فيديو SIP [بروتوكول بدء الجلسة] مصمم خصيصًا للفيلات والمنازل والشقق."
ومع ذلك ، فقد تم حذف قائمة المنتجات من موقع الويب ، حيث تظهر رسالة خطأ: "الصفحة غير موجودة". تُظهر لقطة تم التقاطها بواسطة Google أن الصفحة كانت حية مؤخرًا في 12 مارس 2023 ، 05:59:51 بتوقيت جرينتش .
يمكن أن تظهر الهجمات إما من خلال تنفيذ التعليمات البرمجية عن بُعد داخل شبكة المنطقة المحلية (LAN) أو التنشيط عن بُعد لكاميرا وميكروفون E11 ، مما يسمح للخصم بجمع وتصفية تسجيلات الوسائط المتعددة.
يستفيد متجه الهجوم الثالث من خادم بروتوكول نقل ملفات (FTP) خارجي غير آمن لتنزيل الصور والبيانات المخزنة.
أخطر القضايا هي كما يلي -
- CVE-2023-0344 (درجة CVSS: 9.1) - يبدو أن Akuvox E11 يستخدم إصدارًا مخصصًا من خادم SSH من Dropbear. يسمح هذا الخادم بخيار غير آمن لا يكون افتراضيًا في خادم Dropbear SSH الرسمي.
- CVE-2023-0345 (درجة CVSS: 9.8) - يتم تمكين خادم Akuvox E11 الآمن (SSH) افتراضيًا ويمكن الوصول إليه بواسطة المستخدم الجذر. لا يمكن للمستخدم تغيير كلمة المرور هذه.
- CVE-2023-0352 (درجة CVSS: 9.1) - يمكن الوصول إلى صفحة ويب استعادة كلمة مرور Akuvox E11 بدون مصادقة ، ويمكن للمهاجم تنزيل ملف مفتاح الجهاز. يمكن للمهاجم بعد ذلك استخدام هذه الصفحة لإعادة تعيين كلمة المرور إلى الإعداد الافتراضي.
- CVE-2023-0354 (درجة CVSS: 9.1) - يمكن الوصول إلى خادم الويب Akuvox E11 دون أي مصادقة مستخدم ، وقد يسمح ذلك للمهاجمين بالوصول إلى المعلومات الحساسة ، بالإضافة إلى إنشاء وتنزيل لقطات الحزمة باستخدام عناوين URL الافتراضية المعروفة.
لا تزال غالبية المشكلات الأمنية الـ 13 غير مصححة حتى الآن ، حيث أشارت شركة الأمان الصناعية وإنترنت الأشياء إلى أن Akuvox قد عالج منذ ذلك الحين مشكلة أذونات خادم FTP من خلال تعطيل "القدرة على سرد محتواها حتى لا يتمكن الفاعلون الضارون من تعداد الملفات بعد الآن."
وقد دفعت النتائج أيضًا وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) إلى إصدار استشاري خاص بأنظمة التحكم الصناعي (ICS) الأسبوع الماضي.
وحذرت الوكالة من أن "الاستغلال الناجح لهذه الثغرات يمكن أن يتسبب في فقدان المعلومات الحساسة والوصول غير المصرح به ومنح السيطرة الإدارية الكاملة للمهاجم" .
في حالة عدم وجود تصحيحات ، تُنصح المؤسسات التي تستخدم هاتف الباب بفصله عن الإنترنت حتى يتم إصلاح الثغرات الأمنية للتخفيف من الهجمات المحتملة عن بُعد.
يُنصح أيضًا بتغيير كلمة المرور الافتراضية المستخدمة لتأمين واجهة الويب و "تقسيم جهاز Akuvox وعزله عن بقية شبكة المؤسسة" لمنع هجمات الحركة الجانبية.
يأتي هذا التطوير عندما أصدرت Wago تصحيحات للعديد من وحدات التحكم المنطقية القابلة للبرمجة (PLCs) لمعالجة أربع نقاط ضعف (CVE-2022-45137 و CVE-2022-45138 و CVE-2022-45139 و CVE-2022-45140) اثنان منها يمكن استغلالها لتحقيق تسوية كاملة للنظام.