CVE-2023-27217 es una nueva vulnerabilidad de seguridad en el Wemo Mini Smart Plug de segunda generación de Belkin, que fue descubierto por la empresa de seguridad de IoT israelí Sternum.
Mini enchufe inteligente Wemo de segunda generación de Belkin (F7C063) se encontró que contenía una vulnerabilidad de desbordamiento de búfer, identificado como CVE-2023-27217, que podría ser explotado por actores de amenazas para inyectar comandos arbitrarios de forma remota. Los investigadores de Sternum descubrieron e informaron el problema a Belkin en enero 9, 2023, después de aplicar ingeniería inversa al dispositivo y obtener acceso al firmware.
El Wemo Mini Smart Plug V2 permite a los usuarios controlar de forma remota sus dispositivos electrónicos a través de una aplicación complementaria instalada en un teléfono inteligente o tableta. La vulnerabilidad está asociada con la “Nombre amigable” característica, que permite a los usuarios cambiar el nombre del enchufe inteligente por defecto “Wemo mini 6E9” a un nombre de su elección, limitado a 30 caracteres o menos. Sin embargo, el código de firmware no aplica la regla de validación impuesta por la aplicación.
¿Cómo se puede explotar CVE-2023-27217??
El exploit implica el uso de una aplicación Python hecha por la comunidad llamada PyWeMo para eludir la aplicación Wemo, permitir al atacante cambiar el nombre del dispositivo a más de 30 personajes, lo que resulta en un desbordamiento de búfer y una inyección de comando remoto.
Desafortunadamente, Belkin informó a Sternum que el dispositivo estaba al final de su vida útil, y por lo tanto no estaría recibiendo una solución. El error se informó a Mitre Corporation y se le asignó el código CVE-2023-27217.
Si aún posee un enchufe inteligente Wemo, se recomienda que evite exponer los puertos UPnP del dispositivo a Internet y segmentar su red para aislarla de los dispositivos conectados a Wi-Fi con información más confidencial. Si bien estos son generalmente buenos pasos a seguir con dispositivos IoT conectados a Internet, pueden no ser siempre una solución confiable.
Cómo protegerse contra CVE-2023-27217
Para protegerse contra este problema, Los investigadores del esternón sugieren en su informe que los puertos Wemo Smart Plug V2 UPNP no estén expuestos a Internet, ya sea directamente o a través del reenvío de puertos. Si el Smart Plug V2 se usa dentro de una red sensible, debe estar correctamente segmentado y no poder comunicarse con ningún otro dispositivo sensible en la misma subred.