Что угрожает вашим смарт-устройствам, если вы включите свет.
Индийская CERT-In опубликовала два предупреждения о критических уязвимостях в популярных смарт-устройствах — продуктах Philips Smart Lighting и системе контроля доступа Matrix Door Controller. Ошибки могут привести к несанкционированному доступу к конфиденциальной информации, а также угрозе утечки данных.
Первая уязвимость Для просмотра ссылки Войдиили Зарегистрируйся ( Для просмотра ссылки Войди или Зарегистрируйся ) с оценкой CVSS: 7.0 касается ряда смарт-осветительных приборов компании Philips. Под угрозой оказались модели Smart Wi-Fi LED Batten 24 Вт, LED T Beamer 20 Вт, а также несколько моделей умных ламп и T-Bulb на 9, 10 и 12 Вт.
Проблема затрагивает устройства, функционирующие на прошивке версии ниже 1.33.1, в которых данные о Wi-Fi-сетях хранятся в виде открытого текста. Уязвимость позволяет злоумышленнику, получившему физический доступ к устройству, извлечь прошивку и проанализировать данные для получения доступа к сети Wi-Fi. При этом в зоне риска оказываются все подключенные к ней устройства, а также личные данные пользователей. Владельцам данных приборов рекомендуется обновить прошивку до версии 1.33.1 или выше, чтобы защитить устройства от возможного взлома.
Вторая уязвимость Для просмотра ссылки Войдиили Зарегистрируйся ( Для просмотра ссылки Войди или Зарегистрируйся ) с оценкой 9.3 выявлена в системе контроля доступа Matrix Door Controller Cosec Vega FAXQ. Проблема затрагивает все устройства с прошивкой до версии V2R17 и связана с уязвимостью в управлении сессиями в интерфейсе веб-управления устройством. Ошибка позволяет удалённому атакующему отправлять специальные HTTP-запросы, которые могут дать несанкционированный доступ к системе и полный контроль над устройством.
Эксплуатация уязвимости потенциально угрожает конфиденциальности, целостности и доступности данных системы. Хотя на данный момент публичных доказательств использования данной уязвимости в интернете не зафиксировано, пользователям настоятельно рекомендовано принять меры предосторожности.
Для защиты от указанных уязвимостей CERT-In советует выполнить ряд рекомендаций, которые помогут минимизировать риски и защитить систему от возможных атак. В их числе:
Индийская CERT-In опубликовала два предупреждения о критических уязвимостях в популярных смарт-устройствах — продуктах Philips Smart Lighting и системе контроля доступа Matrix Door Controller. Ошибки могут привести к несанкционированному доступу к конфиденциальной информации, а также угрозе утечки данных.
Первая уязвимость Для просмотра ссылки Войди
Проблема затрагивает устройства, функционирующие на прошивке версии ниже 1.33.1, в которых данные о Wi-Fi-сетях хранятся в виде открытого текста. Уязвимость позволяет злоумышленнику, получившему физический доступ к устройству, извлечь прошивку и проанализировать данные для получения доступа к сети Wi-Fi. При этом в зоне риска оказываются все подключенные к ней устройства, а также личные данные пользователей. Владельцам данных приборов рекомендуется обновить прошивку до версии 1.33.1 или выше, чтобы защитить устройства от возможного взлома.
Вторая уязвимость Для просмотра ссылки Войди
Эксплуатация уязвимости потенциально угрожает конфиденциальности, целостности и доступности данных системы. Хотя на данный момент публичных доказательств использования данной уязвимости в интернете не зафиксировано, пользователям настоятельно рекомендовано принять меры предосторожности.
Для защиты от указанных уязвимостей CERT-In советует выполнить ряд рекомендаций, которые помогут минимизировать риски и защитить систему от возможных атак. В их числе:
- Усиление механизмов аутентификации для веб-интерфейса управления.
- Ограничение доступа к устройствам Matrix Door Controller посредством эффективной сегментации сети.
- Регулярный мониторинг и ведение журнала доступа к устройствам с целью выявления несанкционированной активности.
- Установка всех обновлений и исправлений, предоставляемых производителем.
- Использование межсетевого экрана (WAF) для защиты от вредоносных HTTP-запросов.
- Источник новости
- www.securitylab.ru