Търсене
Close this search box.

Умният термостат на Bosch с опасна грешка във фърмуера

 

Открита е критична уязвимост в широко използвания термостат Bosch BCC100 с уеб връзка, който е популярно устройство в хотелиерските среди.

Използването на този недостатък (CVE-2023-49722) може да доведе до локален неоторизиран достъп, което позволява на нападателите да проникнат в мрежата на потребителя.

Според доклад на Bitdefender от миналата седмица уязвимостта, която засяга версиите на софтуера 1.7.0 – HD Version 4.13.22, съществува в Wi-Fi микроконтролера на устройството и позволява на потенциалните нападатели да изпълняват злонамерени команди.

Извършителят би могъл също така да замени фърмуера на операционната система на устройството с фалшив такъв или да „блокира“ устройството, като му попречи да се стартира и го направи напълно неизползваемо.

Докато термостатът все още е на стената, потребителят няма да може да променя температурата и работните режими.

„Тази уязвимост е уникална по начина, по който позволява на нападател в мрежата да инструктира термостата да се изтрие и да инсталира операционна система според инструкциите на нападателя“, обяснява Богдан Ботезату, директор на отдел „Изследване и докладване на заплахи“ в Bitdefender.

Редица възможни атаки срещу интелигентни термостати

Съществуват и други възможни атаки. Например хакерът може да постави задна врата в оригиналната операционна система на термостата, за да може да се свърже с мрежата отвън и да контролира устройството и командите на ОВК.

Но в най-лошия случай атакуващият може да замени оригиналния фърмуер с дистрибуция на Linux по свой избор и да използва тази новопридобита опора в мрежата, за да подслушва трафика или да се върти върху други устройства.

Bosch е издал поправка. Ботезату казва, че за да се предотвратят атаки, актуализациите на фърмуера трябва да се инсталират веднага щом станат достъпни – това е важно, тъй като производителите постоянно работят с изследователи по сигурността, за да идентифицират и отстраняват уязвимости в своите продукти.

„Освен това би било изключително полезно, ако потребителите на технологиите за IoT настроят своите устройства в специална мрежа, която е изолирана от вече използваните частни мрежи или мрежи за гости“, казва той.

Той добавя, че на клиентите или гостите не трябва да се позволява да сканират мрежата на интернет на нещата (IoT) или да взаимодействат по какъвто и да е начин с тези IoT устройства, тъй като те могат да се опитат да изпълнят сканиране на портове и известни експлойти, за да подкопаят потенциално уязвими устройства.

Атаките срещу интернет на нещата се увеличават с разкриването на уязвимости

Атаките на IoT се увеличават, тъй като интелигентните устройства се приемат все по-често, а производителите се фокусират върху пускането на пазара на интелигентни продукти.

През декември бяха издадени десетки кръпки за популярните смарт часовници и телевизори на Apple, а за домофоните Hikvision, използвани в хиляди апартаменти и офиси по света, беше установено, че са податливи на шпионски софтуер.

През март 2023 г. изследователи откриха сериозни уязвимости в сигурността на интелигентни домофони с видеовръзка, произведени от китайската компания Akuvox, позволяващи аудио- и видеошпионаж.

„Смарт устройствата бързо се превръщат в единствената реална възможност за крайните потребители [в определени екосистеми]“, казва Ботезату. „Нашите изследвания и доклади за състоянието на околната среда показват, че значителна част от смарт устройствата са уязвими и лесни за атака, тъй като за много производители сигурните устройства са второстепенни за бързото навлизане на пазара.“

Той казва, че това е причината, поради която и ЕС, и САЩ работят за приемането на разпоредби, които изискват сертификати за киберсигурност за свързаните с интернет устройства.

„Потребителите трябва да разберат, че има реални възможности незащитените смарт устройства да бъдат компрометирани и че те са лесни за намиране от киберпрестъпниците чрез широко достъпни инструменти за сканиране“, обяснява Ботезату.

Той добавя, че най-добрият начин за защита на джаджите от известни и неизвестни заплахи е чрез решения за сигурност, внедрени на ниво рутер или шлюз.

 

Източник: DARKReading

Подобни публикации

21 април 2024

Как OpenAI и Microsoft събудиха заспал софтуере...

Само преди десетилетие най-големият технологичен звяр в света беше ...
20 април 2024

Готви се нова методика за удостоверяване на съо...

Актуализирането на методиката за удостоверяване на съответствието н...
20 април 2024

Критична уязвимост на Forminator за WordPress и...

Плъгинът Forminator за WordPress, използван в над 500 000 сайта, е ...
20 април 2024

Бандата "Медуза" нанася нов удар

Въпреки че общинската агенция уверява обществеността, че малцина са...
19 април 2024

Пробиха MITRE чрез нулевите дни на Ivanti

Корпорацията MITRE твърди, че подкрепяна от държавата хакерска груп...
19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
Бъдете социални
Още по темата
20/04/2024

Бандата "Медуза" нанася нов...

Въпреки че общинската агенция уверява обществеността,...
19/04/2024

Пробиха MITRE чрез нулевите...

Корпорацията MITRE твърди, че подкрепяна от...
18/04/2024

Болница в Кан с 869 легла и...

Болница „Симон Вейл“ в Кан (CHC-SV)...
Последно добавени
21/04/2024

Как OpenAI и Microsoft събу...

Само преди десетилетие най-големият технологичен звяр...
20/04/2024

Готви се нова методика за у...

Актуализирането на методиката за удостоверяване на...
20/04/2024

Критична уязвимост на Formi...

Плъгинът Forminator за WordPress, използван в...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!