Sikkerhedshuller i nogle tilsluttet videokonference produkter, der kan gøre det muligt for hackere at få fjernadgang få kontrol over udstyr, og bruger det som en snooping værktøj.
Fjernbetjeningen OS kommando-injektion påvirker fire Lifesize virksomhedens samarbejde produkter – naturlig størrelse Team, Lifesize Værelse, naturlig størrelse Pas og Lifesize Networker og er blevet afdækket af forskere på vagtselskab Trustwave.
At udnytte den svaghed, kræver det muligt for angribere at få adgang til firmware på Lifesize-produkter, som også kræver dem at kende enhedens serienummer.
Men hvis dette kan opnås, forskere siger, at det er “trivielt” for at få kontrol over enheden med nogle software-værktøjer og oplysninger fra Lifesize support-side, som kan hjælpe med at give en bagdør ind i enheden. De enheder, der er knyttet til en standard support-konto, som kommer med en standard adgangskode, – noget, som mange brugere ikke har ændret sig, hvilket giver angriberne med en afgørende brik i det puslespil af kompromis.
Den første svaghed stammer fra hvad forskere beskriver som en programmeringsfejl, som giver brugeren mulighed for input til at opstå, uden at blive hæmmet af sanitisation involverer shell funktioner. Ved at kombinere dette med en rettighedsforøgelse fejl, det er muligt at køre system kommandoer, som giver angriberne med fodfæste i det netværk, Lifesize produkt er på.
Kombiner dette rettighedsforøgelse med en kommando injection sårbarhed, og det er muligt at få fuld vedholdenhed på enheden.
“Med denne har du adgang til alt. En video eller lyd, der er gemt på denne maskine vil være gettable temmelig trivielt,” Ed Williams, direktør for Trustwave er Spiderlabs forskning afdeling fortalt ZDNet.
“At maskinen kan bruges som en launchpad til at angribe andre maskiner. Siger denne lyd udstyr, som er internet-mod, kan du få adgang til det underliggende operativsystem gennem denne svaghed. Fra eksterne angreb, kan du potentielt få intern adgang – det er et worse case scenario, men potentielt meget alvorlige.”
Karakteren af de angreb betyder, at det vil være svært at fortælle, hvis en enhed er blevet bragt i fare, hvilket betyder, at der er potentiale i denne sårbarhed er allerede blevet udnyttet i naturen.
“Det ville være svært at fortælle, hvis en enhed, der havde været adgang til, fordi disse typer af enheder, der ikke har meget god logning. Som et resultat, er det svært at se, hvad der foregår, så det ville være svært at finde ud af, om dette er den egentlige årsag til et angreb. – Angribere er sandsynligt, at være på udkig efter og ved hjælp af dette,” sagde Williams.
Lifesize fortalte ZDNet det vil være at udstede en patch for de berørte produkter.
“Vi er pro-aktivt for at løse sårbarhed og automatisk lappe alle Ikonet 220 Række systemer, der er tilsluttet til Lifesize Cloud. For ikke-cloud tilsluttede enheder, vil kunderne er nødt til at installere det hotfix, og vi vil arbejde med de enkelte påvirket kunden for at løse problemet så hurtigt som muligt,” sagde Bobby Larsen, chief technology officer i naturlig størrelse.
Til at hjælpe med at beskytte mod angreb, der udnytter sårbarheden, Holdbart, har opfordret brugerne til at ændre default passwords af enheder. Det er også anbefales, at brugerne er klar over, hvilke enheder der er på deres netværk og om de er op til dato
“Lær, hvad du har fået i gang, og hvis det er internet udnyttelige eller internettet står over for. Hvis det er, skal du opdatere firmwaren eller tage det fra internettet. Sørg for, at enhederne er på separate netværk, så hvis nogen er i stand til at komme ind på det, der er så langt, som de kan få,” sagde Williams.
Trustwave har indsendt en komplet teknisk analyse af sårbarhed på selskabets blog.
LÆS MERE OM IT-SIKKERHED
Tingenes internet security: Hvorfor det vil blive værre før det bliver bedre
5 største tingenes internet security fejl i 2018 [TechRepublic]
Hacking angreb på din router: Hvorfor det værste er endnu ikke kommet
Hacket Reden Cam overbeviser familie, at USA er ved at blive angrebet af Nord Korea [CNET]
Tingenes internet sikkerhed: Hvor skal vi hen herfra?
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre