随着物联网设备越来越广泛,有品牌专门针对这类设备提供云计算管理平台,大幅降低用户必须逐一维护的难处,然而这类平台一旦出现弱点,很有可能连带影响受到管理的设备。
安全企业Claroty指出,他们针对物联网设备云计算管控平台Ovrc着手进行调查,结果发现10个漏洞,并指出一旦这些漏洞被串联,攻击者就有机会经由云计算环境,在受到管理的联网设备远程执行程序代码,而且,OvrC Pro及OvrC Connect的用户都会受到影响,4.0版CVSS风险评为9.2分。
这些漏洞涉及输入验证不当、访问控制不当、明文传输敏感资讯、数据真实性验证不足、开放重定向、写死密码、未公开的隐藏功能、可借由欺骗的方式绕过身份验证,以及重要功能缺乏必须的身份验证。而对于可能会造成的危害,研究人员表示,攻击者可借此访问、控制、破坏OrvC支持的设备,影响的设备涵盖智能电源供应器、视频摄影机、路由器,甚至是智能家庭自动化系统。
值得留意的是,这些漏洞在研究人员通报后,大部分在去年5月就已经修补,但有2个是直到本月才得到解决。
这个云计算物联网设备管理平台主要的功能,就是提供用户能通过移动应用程序或是以Web Socket打造的界面进行管理,而能够远程设置组态、监控运行情况,甚至是排除故障及异常。自动化企业SnapOne在2014年将其买下,他们在2020年的研讨会透露,当时OvrC已监管约920万台设备,因此,研究人员认为,他们发现的漏洞很可能影响全球超过1千万台的设备。
研究人员指出,他们发现的许多弱点,起因都是忽视设备及云计算之间的界面造成,由于这些漏洞都能被用于访问云计算管理界面,使得攻击者不仅能绕过防火墙、网络地址转译(NAT)与其他安全机制,还能列出所有托管的设备,或是进行劫持、提升权限,以及执行任意程序代码。
根据CVSS风险评分,被列为重大层级的漏洞有4个,分别是:不正确的输入验证漏洞CVE-2023-28649、不当访问控制漏洞CVE-2023-31241、数据真实性验证不充分漏洞CVE-2023-28386,重要功能缺乏认证漏洞CVE-2024-50381,CVSS风险评分为9.2至9.1。
而对于如何串联漏洞,研究人员指出,攻击者可先通过CVE-2023-28412找出所有被监管的设备,并使用另外2个漏洞CVE-2023-28649、CVE-2024-50381强制让设备变成无人持有(Unclaim)。
接着,他们通过CVE-2023-31241,将MAC地址与设备ID对应,然后使用设备ID声明设备所有权,最终可从云计算操控设备,或是利用CVE-2023-25183、CVE-2023-31240远程执行任意程序代码。
