Myčka připojená k internetu trpí bezpečnostní chybou (CVE-2017-7240)

Internet věcí (anglicky Internet of Things, zkratka IoT) propojuje jednotlivá zařízení prostřednictvím internetu. V současné době najdeme pokusy o IoT snad v každém odvětví. Od automobilů, domácích spotřebičů, až po různé senzory a čidla, které si spolu vyměňují informace.

Již v minulosti zde byly hodně závažné případy, kdy bylo možné poměrně snadno napadnout špatně zabezpečené IoT zařízení, například průmyslové kamery a domácí routery. Mirai botnet zpravidla taková zařízení zotročil a výpočetní výkon byl použit během DDoS útoků na významné cíle.

V pátek se objevil další poměrně zajímavý případ, kdy bezpečnostní expert Jens Regel nahlásil zranitelnost v mycím a dezinfekčním zařízení společnosti Miele.

Konkrétně se jedná o "directory traversal attack" s označením CVE-2017-7240. Problém se týká mycího zařízení Miele Professional PG 8528 PST10. Vestavěny webserver "PST10 WebServer" naslouchá na portu 80 a je náchylný k procházení všech adresářů. To umožňuje nepřihlášenému útočníkovi číst interní soubory a provádět další útoky.

Regel při zveřejnění chyby popsal, že byl schopen přečíst soubor /etc/shadow, který většinou vyžaduje nejvyšší oprávnění. Je tak pravděpodobné, že webový server běží s právy roota. Podle Regela výrobce na jeho zprávy nereagoval a není si tak vědom žádné vydané opravy. Zranitelnost byla interně nahlášena v Listopadu 2016 a po uplynutí více než 90 dní zveřejněna.
Myčka připojená k internetu trpí bezpečnostní chybou (CVE-2017-7240) Myčka připojená k internetu trpí bezpečnostní chybou (CVE-2017-7240) Reviewed by Kamil Vavra on března 27, 2017 Rating: 5

Žádné komentáře:

Používá technologii služby Blogger.