Mais de uma dúzia de falhas de segurança foram divulgadas no E11, um produto de intercomunicação inteligente fabricado pela empresa chinesa Akuvox.
"As vulnerabilidades podem permitir que os atacantes executem código remotamente para ativar e controlar a câmera e o microfone do dispositivo, roubar vídeo e imagens ou obter uma posição na rede", disse a pesquisadora de segurança da Claroty, Vera Mens, em um relatório técnico.
O Akuvox E11 é descrito pela empresa em seu site como um "videoporteiro SIP [Session Initiation Protocol] especialmente projetado para vilas, casas e apartamentos".
No entanto, a listagem do produto foi removida do site, exibindo uma mensagem de erro: "Página não existe".
Uma captura de tela feita pelo Google mostra que a página estava ativa até recentemente, em 12 de março de 2023, às 05h59min51s GMT.
Os ataques podem se manifestar por meio da execução remota de código dentro da rede local (LAN) ou ativação remota da câmera e do microfone do E11, permitindo que o adversário colete e exfiltre gravações multimídia.
Um terceiro vetor de ataque se aproveita de um servidor de transferência de arquivos (FTP) externo e inseguro para baixar imagens e dados armazenados.
A maioria das 13 questões de segurança ainda não foi corrigida até o momento, e a empresa de segurança industrial e IoT observou que a Akuvox desde então abordou o problema de permissões do servidor FTP desativando "a capacidade de listar seu conteúdo para que atores mal-intencionados não pudessem enumerar arquivos".
As descobertas também levaram a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) a emitir seu próprio aviso de Sistemas de Controle Industrial (ICS) na semana passada.
"A exploração bem-sucedida dessas vulnerabilidades pode causar perda de informações confidenciais, acesso não autorizado e conceder controle administrativo total a um invasor", alertou a agência.
Na ausência de correções, as organizações que usam o intercomunicador são aconselhadas a desconectá-lo da internet até que as vulnerabilidades sejam corrigidas para mitigar possíveis ataques remotos.
Também é recomendado alterar a senha padrão usada para proteger a interface da web e "segmentar e isolar o dispositivo Akuvox do restante da rede corporativa" para evitar ataques de movimento lateral.
O desenvolvimento ocorre quando a Wago lançou correções para vários de seus controladores lógicos programáveis (PLCs) para abordar quatro vulnerabilidades (
CVE-2022-45137
,
CVE-2022-45138
,
CVE-2022-45139
e
CVE-2022-45140
), duas das quais poderiam ser exploradas para obter comprometimento completo do sistema.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...