Säkerhetsproblem i vissa anslutna videokonferenser produkter skulle kunna göra det möjligt för hackare att på distans få kontroll av utrustning och använda det som en snokande verktyg.
Fjärrkontrollen OS kommando injiceringssårbarheter påverkar fyra Lifesize företag samarbete produkter – Lifesize Team, Lifesize Rum, Lifesize Pass och Lifesize Nätverkare och har upptäckts av forskare vid säkerhetsföretaget Trustwave.
Utnyttja sårbarheten kräver angripare att få åtkomst till den inbyggda programvaran för Lifesize produkter, vilket också kräver att de vet serienummer för enheten.
Men om detta kan erhållas, forskare säger att det är “triviala” för att få kontroll över enheten med några programverktyg och information från Lifesize support sida, som kan hjälpa till att ge en bakdörr in i enheten. De enheter som är kopplade till en standard stöd konto som kommer med en standard lösenord – något som många användare inte har förändrats, att ge angripare med en viktig pusselbit i den kompromiss.
Den första sårbarheten härrör från vad forskarna beskriver som ett programmeringsfel som gör att användarens inmatning ske utan att begränsas av sanering som innefattar skal funktioner. Genom att kombinera detta med en eskalering av behörigheter bugg, är det möjligt att köra kommandon systemet, att ge angripare med ett fotfäste i nätverket Lifesize produkten är med på.
Kombinera denna eskalering med ett kommando injektion sårbarhet och det är möjligt att få full uthållighet på enheten.
“Med detta har du tillgång till allt. Någon video eller ljud som lagras på att maskinen kommer att vara get ganska trivialt,” Ed Williams, chef för Trustwave som är Spiderlabs forskning institutionen berättade ZDNet.
“Att maskinen kan användas som en förutsättning för att attackera andra datorer. Att säga detta ljud utrustning är internet-kontakt, kan du få tillgång till det underliggande operativsystemet genom denna sårbarhet. Från en yttre angrepp, kan du eventuellt få inre tillgång – det är ett värre fall, men eventuellt mycket allvarliga.”
Den typ av attack innebär att det skulle vara svårt att avgöra om en enhet har äventyrats, vilket innebär att det finns potential denna sårbarhet har redan utnyttjats i det vilda.
“Det skulle vara svårt att avgöra om en enhet som hade varit nås, eftersom dessa typer av enheter som inte har mycket bra avverkning. Som ett resultat det är svårt att se vad som händer, så det skulle vara svårt att ta reda på om detta är orsaken till att en attack. Angriparna är sannolikt att vara ute och använda detta”, sade Williams.
Lifesize berättade ZDNet det kommer att utfärda en patch för de berörda produkterna.
“Vi är pro-aktivt ta itu med den sårbarhet och automatiskt korrigerar alla Ikonen 220-Serien system som är anslutna till Lifesize Moln. För icke-cloud connected devices, kunder kommer att behöva använda snabbkorrigeringen och vi kommer att arbeta med varje påverkas kunden för att lösa problemet så snabbt som möjligt, säger Bobby Beckmann, chief technology officer på Lifesize.
För att hjälpa till att skydda mot attacker som utnyttjar sårbarheten, Hållbart har uppmanat användare att ändra default lösenord för enheter. Det är också rekommenderat att användarna är medvetna om vilka enheter som finns i deras nätverk och huruvida de är uppdaterade
“Lär dig vad du har kommit igång och om det är internet utnyttjas eller internet står inför. Om det är, uppdatera den inbyggda programvaran eller ta bort den från internet. Se till att de enheter som finns i ett segregerat nätet, så om någon är i stånd att komma på det, det är så långt som de kan få,” sade Williams.
Trustwave har publicerat en fullständig teknisk analys av sårbarhet på företagets blogg.
LÄS MER OM IT-SÄKERHET
Sakernas internet security: Varför det kommer att bli värre innan det blir bättre
5 största sakernas internet security misslyckanden 2018 [TechRepublic]
Hacking attacker på din router: Varför värsta är ändå att komma
Hackad Boet Cam övertygar familj som OSS är att attackeras av Nordkorea [MAG]
Sakernas internet säkerhet: Vart går vi härifrån?
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter