Ένα απλό σφάλμα εξέθεσε την πρόσβαση σε χιλιάδες έξυπνα συστήματα συναγερμού ασφαλείας
Ο αμερικανικός γίγαντας ενέργειας και ηλεκτρονικών ειδών Eaton διόρθωσε μια ευπάθεια ασφαλείας που επέτρεψε σε έναν ερευνητή ασφάλειας να έχει εξ αποστάσεως πρόσβαση σε χιλιάδες έξυπνα συστήματα συναγερμού ασφαλείας.
Ερευνητής ασφάλειας
Βαγγέλης Στύκας
είπε ότι βρήκε την ευπάθεια σε
Eaton’s SecureConnect
ένα σύστημα που βασίζεται σε σύννεφο που επιτρέπει στους πελάτες να έχουν απομακρυσμένη πρόσβαση, διαχείριση και οπλισμό και αφοπλισμό των συστημάτων συναγερμού ασφαλείας τους από μια εφαρμογή τηλεφώνου.
Ο Στύκας είπε ότι η ευπάθεια επέτρεπε σε οποιονδήποτε να εγγραφεί ως νέος χρήστης και να εκχωρήσει αυτόν τον λογαριασμό σε οποιαδήποτε άλλη ομάδα χρηστών, συμπεριλαμβανομένης μιας ομάδας “root”, η οποία έχει πρόσβαση σε όλα τα έξυπνα συστήματα συναγερμού που είναι συνδεδεμένα στο
cloud
του Eaton.
Η ευπάθεια είναι γνωστή ως ανασφαλής άμεση αναφορά αντικειμένου ή IDOR, μια κλάση σφάλματος ασφαλείας που επιτρέπει ανεξέλεγκτη πρόσβαση σε αρχεία, δεδομένα ή λογαριασμούς χρηστών λόγω αδύναμων ή ελλιπών ελέγχων πρόσβασης σε έναν διακομιστή. Ο Στύκας είπε ότι το σφάλμα ήταν εύκολο να εκμεταλλευτεί κανείς χρησιμοποιώντας εργαλεία man-in-the-middle, όπως το Burp Suite, παρεμποδίζοντας τον αριθμό της ομάδας του νέου χρήστη και ανταλλάσσοντάς τον με τον αριθμό της ριζικής ομάδας, που ήταν απλώς «1».
Ο Στύκας είπε ότι η προσθήκη ενός χρήστη στη βασική ομάδα “έδινε πρόσβαση σε όλα”, συμπεριλαμβανομένου του ονόματος και της διεύθυνσης email του εγγεγραμμένου χρήστη, καθώς και της τοποθεσίας κάθε συνδεδεμένου συστήματος συναγερμού ασφαλείας. Ο Στύκας είπε ότι η πρόσβαση θα μπορούσε να έχει επιτρέψει σε έναν πιθανό εισβολέα να ελέγχει εξ αποστάσεως συστήματα συναγερμού ασφαλείας που συνδέονται με το cloud του Eaton — αν και δεν το επιχείρησε.
Σε ένα
ειδοποίηση ασφαλείας
που δημοσιεύτηκε στον ιστότοπό της, η Eaton επιβεβαίωσε ότι το σφάλμα ανακαλύφθηκε στη λογική εξουσιοδότησης ομαδικής πρόσβασης.
Ο Jonathan Hart, εκπρόσωπος του Eaton, είπε ότι η ευπάθεια επιδιορθώθηκε τον Μάιο. Ο Χαρτ αρνήθηκε να πει πόσους πελάτες έξυπνων συναγερμών έχει, αν και ο Στύκας είπε ότι ο αριθμός των συνδεδεμένων έξυπνων συστημάτων συναγερμού της Eaton ήταν δεκάδες χιλιάδες.
Ο Eaton αρνήθηκε να πει εάν η ευπάθεια επέτρεπε τον τηλεχειρισμό των συνδεδεμένων συστημάτων συναγερμού ασφαλείας. Ο Eaton είπε ότι η ευπάθεια «επαληθεύτηκε ότι είναι ένα μεμονωμένο γεγονός», αλλά δεν είπε πώς κατέληξε σε αυτό το συμπέρασμα ή εάν η εταιρεία διαθέτει τα τεχνικά μέσα, όπως συστήματα καταγραφής, για να προσδιορίσει εάν η ευπάθεια είχε προηγουμένως ανακαλυφθεί ή εκμεταλλευτεί.
