Êtes-vous propriétaire d'une maison intelligente? Si oui, peut-être vous familiariser avec la prise intelligente Belkin Wemo Perspicacité. Il sert à allumer vos lumières et les appareils sous et hors tension, et il peut également les suivre partout.
Le bouchon est également conçu pour obtenir un aperçu de l'utilisation de l'énergie domestique et peut être jumelé avec Accueil Amazon Alexa et Google. Jusqu'ici, si bon.
Le problème est que le bouchon a été vulnérable pendant près d'un an, et une solution n'a pas été introduit encore en dépit des responsables notification au sujet du bogue de sécurité. En d'autres termes, la prise intelligente Belkin Wemo Perspectives contient toujours la même exécution de code à distance, vulnérabilité zéro jour près d'un an après le bogue a été divulgué. Le bug a été attribué le numéro CVE-2018-6692.
Voici la Description officielle de CVE-2018-6692:
Tampon dans la pile de la vulnérabilité de débordement dans libUPnPHndlr.so dans Belkin Wemo Aperçu Smart Plug permet des attaquants distants afin de contourner la protection de la sécurité locale via un paquet HTTP Post conçu.
Cet écart de sécurité ouvre la porte à des attaques contre les dispositifs IdO que la fiche est connecté à un réseau domestique.
Selon une analyse des échantillons récents de la [wplinkpreview url =”https://sensorstechforum.com/internet-things-botnet-new-type-malware/”] logiciels malveillants Bashlite menée par des chercheurs de McAfee, il y a des modules Metasploit qui ciblent le protocole UPnP Wemo.
Les chercheurs pensent que les pirates ciblent un large éventail de dispositifs IdO pour tenter de découvrir les plus vulnérables, puis utiliser les informations d'identification par défaut pour accéder.
En savoir plus sur la vulnérabilité liée à Belkin Wemo RCE
Il y a près d'un an, en mai 21, 2018, les chercheurs en sécurité ont contacté Belkin afin de les informer au sujet du bug dans la prise RCE intelligente. Le rapport comprenait non seulement une analyse détaillée de la question, mais a également présenté une démonstration sur l'appareil photo de la façon dont la question peut être exploitée.
En outre, les experts ont dit que la référence CVE-2018-6692 pourrait être liée à une autre, plus la vulnérabilité au sein Wemo, qui a été patché. Via le SetSmartDevInfo d'action et l'argument correspondant SmartDevURL, la 2015 défaut de tiers autorisés à exploiter les empreintes digitales et les périphériques sans l'autorisation de l'utilisateur.
Vulnérabilités telles que le bug Belkin CVE-2018-6692 Wemo pourrait permettre à des pirates de prendre en charge une gamme d'appareils connectés, y compris les caméras de surveillance. Un patch pour la vulnérabilité peut être libéré à la fin de ce mois, mais la date n'a pas été confirmée. Il est curieux de mentionner que Belkin patché récemment une vulnérabilité différente dans son M.. cafetière avec café Wemo.
Que faire pour éviter les attaques impliquant CVE-2018-6692?
Comme cette vulnérabilité nécessite l'accès au réseau pour exploiter le dispositif, la recommandation d'experts est de mettre en œuvre les mots de passe WiFi forts, et d'isoler à partir de dispositifs périphériques IdO critiques en utilisant des réseaux locaux virtuels ou la segmentation du réseau.