Антивирусная бражка ESET доложила об обнаружении критических уязвимостей в трех контроллерах башковитого дома — Fibaro Home Center Lite, Home Matic Central Control Unit(CCU2)и eLAN-RF-003, какие деятельно используются в небольших офисах и домашних сетях по всему миру.
Найденные уязвимости могут быть использованы для исполнения атак методом Man-in-the-Middle(MitM, пер. с англ. «атака посредника» или «человек посередине»), когда злоумышленник перехватывает настоящие, передаваемые между каналами связи, извлекает здоровую информацию и при надобности даже подменяет ее. Киберпреступник способен ввести контроль над центральным блоком и всеми подключенными к нему девайсами.
Одним из чувствительных устройств стал Fibaro Home Center Lite — контроллер, назначенный для управления IoT-устройствами. Эксперты ESET вскрыли линия капитальных дефектов, с поддержкой каких злоумышленник может получить несанкционированный доступ. В частности, одна из уязвимостей вручает возможность создать бэкдор SSH, подвернуть пароль методом брутфорса и ввести абсолютный контроль над устройством.
В устройстве Homematic CCU2 вскрыта RCE-уязвимость, при помощи коей обеспечивается высланное выполнение кода. Таковским образом злоумышленник мог бы воздушно получить доступ к системе башковитого дома и всем подключенным к ней гаджетам.
В ESET также доложили о проблемах в версии прошивки устройства eLAN-RF-003 2.9.079, среди каких отсутствие реализации SSL-шифрования, некорректные проверки подлинности, позволяющие выполнять команды без авторизации. Их опасность заключается в том, что данное конструкция позволяет пользователю ворочать неодинаковыми домашними системами сквозь приложение на смартфоне, смарт-часах, планшете или телевизоре.
Благодаря своевременному обнаружению уязвимостей, производители уже выпустили обновления.