- 13,850
- 20
- 8 Ноя 2022
Засланный казачок в чужих сетях соберёт все данные и даже не вызовет подозрений.
Несколько уязвимостей высокой степени серьёзности были обнаружены в маршрутизаторах ConnectedIO ER2000 и соответствующей облачной управляющей платформе. Угрозы позволяют злоумышленникам выполнять вредоносный код и получать доступ к конфиденциальным данным.
Для просмотра ссылки Войдиили Зарегистрируйся Ноам Моше из компании Claroty , атакующие могли бы использовать эти угрозы, чтобы полностью скомпрометировать облачную инфраструктуру, удалённо выполнять код и получить доступ ко всей информации о клиенте и устройстве.
Уязвимости в 3G/4G-роутерах марки ConnectedIO могут подвергнуть риску тысячи внутренних сетей, позволяя хакерам захватывать управление, перехватывать трафик и даже проникать в расширенный интернет вещей ( XIoT ).
Обнаруженные недостатки, влияющие на версии платформы ConnectedIO v2.1.0 и более ранние, в основном касаются 4G-маршрутизатора ER2000 и связанных с ним облачных услуг. Эти уязвимости могут быть использованы одновременно, что позволяет злоумышленникам выполнять произвольный код на облачных устройствах без прямого доступа к ним.
Использование жёстко заданных учётных данных для аутентификации в коммуникационном протоколе между устройствами и облаком может быть применено для регистрации в сети пиратского устройства и доступа через него к сообщениям, настройкам Wi-Fi, SSID и паролям от других сетевых устройств.
Серьёзность выявленных угроз заключается в том, что злоумышленник может не только выдавать себя за любое устройство по выбору с использованием утечек IMEI -номеров, но и заставлять эти устройства выполнять произвольные команды.
Все найденные уязвимости получили оценку по шкале CVSS равную 8,6 баллов из 10. Им были назначены следующие идентификаторы CVE:
Несколько уязвимостей высокой степени серьёзности были обнаружены в маршрутизаторах ConnectedIO ER2000 и соответствующей облачной управляющей платформе. Угрозы позволяют злоумышленникам выполнять вредоносный код и получать доступ к конфиденциальным данным.
Для просмотра ссылки Войди
Уязвимости в 3G/4G-роутерах марки ConnectedIO могут подвергнуть риску тысячи внутренних сетей, позволяя хакерам захватывать управление, перехватывать трафик и даже проникать в расширенный интернет вещей ( XIoT ).
Обнаруженные недостатки, влияющие на версии платформы ConnectedIO v2.1.0 и более ранние, в основном касаются 4G-маршрутизатора ER2000 и связанных с ним облачных услуг. Эти уязвимости могут быть использованы одновременно, что позволяет злоумышленникам выполнять произвольный код на облачных устройствах без прямого доступа к ним.
Использование жёстко заданных учётных данных для аутентификации в коммуникационном протоколе между устройствами и облаком может быть применено для регистрации в сети пиратского устройства и доступа через него к сообщениям, настройкам Wi-Fi, SSID и паролям от других сетевых устройств.
Серьёзность выявленных угроз заключается в том, что злоумышленник может не только выдавать себя за любое устройство по выбору с использованием утечек IMEI -номеров, но и заставлять эти устройства выполнять произвольные команды.
Все найденные уязвимости получили оценку по шкале CVSS равную 8,6 баллов из 10. Им были назначены следующие идентификаторы CVE:
- Для просмотра ссылки Войди
или Зарегистрируйся : уязвимость переполнения буфера на основе стека в протоколе связи; - Для просмотра ссылки Войди
или Зарегистрируйся : уязвимость внедрения аргументов в командное сообщение ip-таблиц в протоколе связи; - Для просмотра ссылки Войди
или Зарегистрируйся : уязвимость внедрения команд операционной системы в команду set firewall в протоколе связи; - Для просмотра ссылки Войди
или Зарегистрируйся : уязвимость внедрения аргументов в сообщение AT-команды протокола связи.
- Источник новости
- www.securitylab.ru
