
Akuvoks
Akuvox E11, görüntülü kapı telefonu olarak faturalandırılır, ancak aslında bundan çok daha fazlasıdır. Ağa bağlı cihaz, bina kapılarını açar, canlı video ve mikrofon beslemeleri sağlar, bir fotoğraf çeker ve her geçişte onu yükler ve gerçek zamanlı olarak her girişi ve çıkışı kaydeder. Censys cihaz arama motoru, bu tür yaklaşık 5.000 cihazın İnternet’e açık olduğunu gösteriyor, ancak Censys’in çeşitli nedenlerle göremediği çok daha fazlası var.
Bu her şeye gücü yeten, her şeyi bilen cihazın, hassas verileri ve güçlü yetenekleri, iç işleyişini analiz etmek için zaman ayıran tehdit aktörlerinin ellerine teslim etmek için birçok yol sağlayan deliklerle dolu olduğu ortaya çıktı. Güvenlik firması Claroty’den araştırmacıların yaptığı da tam olarak buydu. Bulgular, bu cihazlardan birini evinde veya binada kullanan herkesin bu makaleyi okumaya ara vermesi, E11’in İnternet bağlantısını kesmesi ve oradan nereye gideceğini değerlendirmesi gerektiği kadar ciddidir.
Claroty tarafından bulunan 13 güvenlik açığı, kritik işlevler için eksik bir kimlik doğrulaması, eksik veya yanlış yetkilendirme, kriptografik olarak hashlenmiş anahtarlar yerine erişilebilir kullanılarak şifrelenmiş sabit kodlanmış anahtarlar ve hassas bilgilerin yetkisiz kullanıcılara ifşa edilmesini içeriyor. Güvenlik açıkları ne kadar kötü olursa olsun, akıllı interkom ve kapı giriş sistemlerinin Çin merkezli önde gelen tedarikçisi olan Akuvox’un Claroty, CERT koordinasyon Merkezi ve Siber Güvenlik ve Altyapı Güvenliği’nden gelen çok sayıda mesaja yanıt vermemesi, tehditlerini daha da kötüleştiriyor. Ajans altı haftalık bir süre boyunca. Claroty ve CISA, bulgularını Perşembe günü burada ve burada kamuoyuna açıkladı.
Güvenlik açıklarından biri hariç hiçbiri düzeltilmemiş durumda. Akuvox temsilcileri, bu makale için yorum isteyen iki e-postaya yanıt vermedi.
Bu cihazın ofisimde ne işi var?
Claroty araştırmacıları E11’i ilk olarak, kapısına önceden takılmış bir ofise taşındıklarında tökezlediler. Çalışanların ve ziyaretçilerin geliş gidişlerine erişimi ve gerçek zamanlı olarak casusluk yapma ve kapıları açma yeteneği göz önüne alındığında, kaputun altına bakmaya karar verdiler. Araştırmacıların bulduğu ilk kırmızı bayrak: Kapıda her hareket algılandığında çekilen görüntüler, şifrelenmemiş FTP aracılığıyla herkesin görüntüleyebileceği bir dizindeki bir Akuvox sunucusuna gönderildi ve oradan diğer müşteriler tarafından gönderilen görüntüleri indirdi.
Claroty’nin Team82 araştırma grubundaki araştırmadan sorumlu Başkan Yardımcısı Amir Preminger bir röportajda, “Başladığımızda ve FTP’yi gördüğümüzde çok şaşırdık,” dedi. “Açık bir şekilde bir FTP bulacağımızı asla hayal etmemiştik. Önce cihazı bloke ettik, her şeyiyle bağlantısını kestik, kendi adasına koyduk ve bağımsız olarak kullandık. Değiştirme aşamasındayız.”
Analiz devam ederken FTP sunucusunun davranışı değişti. Dizin artık görüntülenemez, bu nedenle muhtemelen artık indirilemez. Bununla birlikte, FTP yüklemeleri şifrelenmediğinden, önemli bir tehdit varlığını sürdürmektedir. Bu, bir E11 ile Akuvox arasındaki bağlantıyı izleyebilen herkesin yüklemeleri yakalayabileceği anlamına gelir.
Araştırmacıların bir başka önemli bulgusu, sahibinin cihazda oturum açmak, cihazı kontrol etmek ve canlı yayınlara erişmek için bir web tarayıcısı kullanmasına izin veren arayüzdeki bir kusurdu. Arayüz, erişim için kimlik bilgileri gerektirse de Claroty, bazı web işlevlerine parola olmadan erişim sağlayan gizli yollar buldu. CVE-2023-0354 olarak izlenen güvenlik açığı, statik bir IP adresi kullanarak İnternet’e açık olan cihazlara karşı çalışıyor. Kullanıcılar bunu bir tarayıcı kullanarak cihaza uzaktan bağlanmak için yapar.
Bir E11’e yetkisiz uzaktan erişime izin veren tek güvenlik açığı bu değil. Cihaz ayrıca Android ve iOS için kullanılabilen SmartPlus adlı bir telefon uygulamasıyla da çalışır. Bir E11 doğrudan İnternet’e maruz kalmadığında, bunun yerine ağ adresi çevirisini kullanan bir güvenlik duvarının arkasında olduğunda bile uzaktan erişime izin verir.
SmartPlus, sesli ve görüntülü aramalar, anlık mesajlaşma ve oyunlar gibi gerçek zamanlı iletişimler için kullanılan açık bir standart olan oturum başlatma protokolünü kullanarak interkomla iletişim kurar.