Pesquisadores descobrem mais de uma dúzia de falhas de segurança no interfone inteligente Akuvox E11
14 de Março de 2023

Mais de uma dúzia de falhas de segurança foram divulgadas no E11, um produto de intercomunicação inteligente fabricado pela empresa chinesa Akuvox.

"As vulnerabilidades podem permitir que os atacantes executem código remotamente para ativar e controlar a câmera e o microfone do dispositivo, roubar vídeo e imagens ou obter uma posição na rede", disse a pesquisadora de segurança da Claroty, Vera Mens, em um relatório técnico.

O Akuvox E11 é descrito pela empresa em seu site como um "videoporteiro SIP [Session Initiation Protocol] especialmente projetado para vilas, casas e apartamentos".

No entanto, a listagem do produto foi removida do site, exibindo uma mensagem de erro: "Página não existe".

Uma captura de tela feita pelo Google mostra que a página estava ativa até recentemente, em 12 de março de 2023, às 05h59min51s GMT.

Os ataques podem se manifestar por meio da execução remota de código dentro da rede local (LAN) ou ativação remota da câmera e do microfone do E11, permitindo que o adversário colete e exfiltre gravações multimídia.

Um terceiro vetor de ataque se aproveita de um servidor de transferência de arquivos (FTP) externo e inseguro para baixar imagens e dados armazenados.

A maioria das 13 questões de segurança ainda não foi corrigida até o momento, e a empresa de segurança industrial e IoT observou que a Akuvox desde então abordou o problema de permissões do servidor FTP desativando "a capacidade de listar seu conteúdo para que atores mal-intencionados não pudessem enumerar arquivos".

As descobertas também levaram a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) a emitir seu próprio aviso de Sistemas de Controle Industrial (ICS) na semana passada.

"A exploração bem-sucedida dessas vulnerabilidades pode causar perda de informações confidenciais, acesso não autorizado e conceder controle administrativo total a um invasor", alertou a agência.

Na ausência de correções, as organizações que usam o intercomunicador são aconselhadas a desconectá-lo da internet até que as vulnerabilidades sejam corrigidas para mitigar possíveis ataques remotos.

Também é recomendado alterar a senha padrão usada para proteger a interface da web e "segmentar e isolar o dispositivo Akuvox do restante da rede corporativa" para evitar ataques de movimento lateral.

O desenvolvimento ocorre quando a Wago lançou correções para vários de seus controladores lógicos programáveis (PLCs) para abordar quatro vulnerabilidades ( CVE-2022-45137 , CVE-2022-45138 , CVE-2022-45139 e CVE-2022-45140 ), duas das quais poderiam ser exploradas para obter comprometimento completo do sistema.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...