Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Niet-gepatchte Wemo Smart Plug-bug opent talloze netwerken voor cyberaanvallen

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 128

De Wemo Mini Smart Plug V2, waarmee gebruikers op afstand alles kunnen bedienen dat erop is aangesloten via een mobiele app, heeft een beveiligingslek waardoor cyberaanvallers verschillende slechte resultaten kunnen veroorzaken. Dat zijn onder meer het op afstand in- en uitschakelen van elektronica, en de mogelijkheid om dieper in een intern netwerk te gaan, of te hinkelen naar extra apparaten.

De Smart Plug wordt zowel door consumenten als bedrijven gebruikt en kan worden aangesloten op een bestaand stopcontact en maakt verbinding met een intern Wi-Fi-netwerk en met het bredere internet via Universal Plug-n-Play (UPNP)-poorten. Gebruikers kunnen het apparaat vervolgens bedienen via een mobiele app, wat in wezen een manier biedt om ouderwetse lampen, ventilatoren en andere gebruiksvoorwerpen 'slim' te maken. De app kan worden geïntegreerd met Alexa, Google Assistant en Apple Home Kit, terwijl het extra functies biedt, zoals planning voor het gemak. 

De fout (CVE-2023-27217) is een buffer-overflow kwetsbaarheid dat beïnvloedt model F7C063 van het apparaat en maakt injectie op afstand mogelijk, volgens onderzoekers van Sternum die het ontdekten. Toen ze de maker van het apparaat, Belkin, aanklopten voor een oplossing, kregen ze helaas te horen dat er geen firmware-update zou komen omdat het apparaat aan het einde van zijn levensduur is.

"Ondertussen is het veilig om aan te nemen dat veel van deze apparaten nog steeds in het wild worden ingezet", zeggen ze toegelicht in een analyse op 16 mei, daarbij verwijzend naar de 17,000 recensies en vier sterren die de Smart Plug op Amazon heeft. "De totale verkoop op Amazon alleen al zou in de honderdduizenden moeten lopen."

Foto van Wemo Smart Plug

De Wemo Smart Plug maakt van gewone lampen en dergelijke 'slimme' apparaten.

Igal Zeifman, vice-president marketing voor Sternum, vertelt Dark Reading dat dit een lage schatting is voor het aanvalsoppervlak. "Daardoor zijn we erg conservatief", merkt hij op. “Alleen al in ons lab hadden we er drie toen het onderzoek begon. Die zijn nu losgekoppeld.”

Hij voegt eraan toe: “Als bedrijven deze versie van de Wemo-plug-in binnen hun netwerk gebruiken, moeten ze stoppen of (op zijn minst) ervoor zorgen dat de Universal Plug-n-Play (UPNP)-poorten niet worden blootgesteld aan externe toegang. Als dat apparaat een kritieke rol speelt of is aangesloten op een kritiek netwerk of asset, ben je niet in vorm.”

CVE-2023-27217: What's in a Name?

De bug zit in de manier waarop de firmware omgaat met de naamgeving van de Smart Plug. Hoewel "Wemo mini 6E9" de standaardnaam is van het apparaat uit de doos, kunnen gebruikers het naar wens hernoemen met behulp van wat in de firmware is aangeduid als de "FriendlyName" -variabele - door het bijvoorbeeld te wijzigen in "keukenuitgang" of iets dergelijks.

"Deze optie voor gebruikersinvoer deed onze Spidey-zintuigen al tintelen, vooral toen we zagen dat het wijzigen van de naam in de app enkele vangrails met zich meebracht, [met name een limiet van 30 tekens]", merkten Sternum-onderzoekers op. “Dit riep bij ons meteen twee vragen op: 'zegt wie?' en 'Wat gebeurt er als het ons lukt om er meer dan 30 karakters van te maken?'”

Toen de mobiele app hen niet toestond een naam van meer dan 30 tekens te maken, besloten ze om rechtstreeks verbinding te maken met het apparaat via pyWeMo, een open-source Python-module voor de detectie en controle van WeMo-apparaten. Ze ontdekten dat ze door de app te omzeilen de vangrail konden omzeilen en met succes een langere naam konden invoeren.

"De beperking werd alleen afgedwongen door de app zelf en niet door de firmwarecode", merkten ze op. "Dit soort invoervalidatie moet niet alleen op 'oppervlakkig' niveau worden beheerd."

Toen ze observeerden hoe de overvolle 'FriendlyName'-variabele werd afgehandeld door de geheugenstructuur, zagen de onderzoekers dat de metadata van de heap werd beschadigd door een naam die langer was dan 80 tekens. Die beschadigde waarden werden vervolgens gebruikt in daaropvolgende heap-bewerkingen, wat leidde tot korte crashes. Dit resulteerde volgens de analyse in een bufferoverloop en de mogelijkheid om de resulterende hertoewijzing van geheugen te controleren.

"Het is een goede wake-up call over het risico van het gebruik van verbonden apparaten zonder enige beveiliging op het apparaat, wat tegenwoordig 99.9% van de apparaten is", zegt Zeifman.

Pas op voor gemakkelijke uitbuiting

Hoewel Sternum geen proof-of-concept-exploit vrijgeeft of opsomt hoe een real-world aanvalsstroom er in de praktijk uit zou zien, zegt Zeifman dat de kwetsbaarheid niet moeilijk te misbruiken is. Een aanvaller heeft netwerktoegang of externe universele Plug-n-Play-toegang nodig als het apparaat openstaat voor internet.

"Buiten dat is het een triviale bufferoverloop op een apparaat met een uitvoerbare heap", legt hij uit. "Hardere bastions zijn gevallen."

Hij merkte op dat het waarschijnlijk is dat aanvallen ook kunnen worden uitgevoerd via de cloudinfrastructuuroptie van Wemo.

"Wemo-producten implementeren ook een cloudprotocol (eigenlijk een STUN-tunnel) dat bedoeld was om Network Address Traversal (NAT) te omzeilen en de mobiele app in staat te stellen het stopcontact via internet te bedienen", zegt Zeifman. "Hoewel we niet al te diep in het cloudprotocol van Wemo hebben gekeken, zou het ons niet verbazen als deze aanval ook op die manier zou kunnen worden geïmplementeerd."

Bij gebrek aan een patch hebben apparaatgebruikers enkele maatregelen die ze kunnen nemen; zolang de Smart Plug bijvoorbeeld niet is blootgesteld aan internet, moet de aanvaller toegang krijgen tot hetzelfde netwerk, wat uitbuiting ingewikkelder maakt.

Sternum heeft de volgende gezond verstand aanbevelingen beschreven:

  • Stel de Wemo Smart Plug V2 UPNP-poorten niet bloot aan internet, hetzij rechtstreeks, hetzij via port forwarding.
  • Als u de Smart Plug V2 in een gevoelig netwerk gebruikt, moet u ervoor zorgen dat het correct is gesegmenteerd en dat het apparaat niet kan communiceren met andere gevoelige apparaten op hetzelfde subnet.

IoT-beveiliging blijft achterblijven

Wat de bredere conclusies van het onderzoek betreft, laten de bevindingen zien dat leveranciers van Internet of Things (IoT) nog steeds worstelen met security by design — waar organisaties rekening mee moeten houden bij het installeren van een slim apparaat.

"Ik denk dat dit het belangrijkste punt van dit verhaal is: dit is wat er gebeurt als apparaten worden verzonden zonder enige bescherming op het apparaat", merkt hij op. “Als je maar vertrouwt op responsieve beveiligingspatches, zoals de meeste fabrikanten van apparaten tegenwoordig doen, zijn twee dingen zeker. Ten eerste loop je altijd een stap achter op de aanvaller; en twee, op een dag zullen die patches niet meer komen.

IoT-apparaten moeten worden uitgerust met "hetzelfde niveau van eindpuntbeveiliging dat we verwachten van andere activa, onze desktops, laptops, servers, enz.", zegt hij. "Als je hartmonitor minder veilig is dan de gaming-laptop, is er iets vreselijk misgegaan - en dat is ook zo."

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.