Belkin の Wemo Mini スマート プラグで CVE-2023-27217 が発見されました

CVE-2023-27217 は、Belkin の第 2 世代 Wemo Mini スマート プラグの新たなセキュリティ脆弱性です。, イスラエルのIoTセキュリティ企業Sternumによって発見された.

Belkin の第 2 世代 Wemo Mini スマート プラグ (F7C063) バッファオーバーフローの脆弱性が存在することが判明, CVE-2023-27217 として識別されました, これは、脅威アクターによって悪用され、リモートから任意のコマンドを挿入される可能性があります。. 胸骨の研究者がこの問題を発見し、1 月に Belkin に報告しました。 9, 2023, デバイスをリバースエンジニアリングし、ファームウェアにアクセスした後.

Wemo Mini Smart Plug V2 を使用すると、ユーザーはスマートフォンまたはタブレットにインストールされたコンパニオン アプリを介して電子デバイスをリモート制御できます。. この脆弱性は次のことに関連しています。 “分かりやすい名前” 特徴, これにより、ユーザーはスマート プラグの名前をデフォルトから変更できます “ウィーモ ミニ 6E9” 彼らが選んだ名前に, に限定される 30 文字以下. でも, ファームウェア コードが、アプリによって強制される検証ルールの適用に失敗する.

CVE-2023-27217 はどのように悪用されるのか?

このエクスプロイトでは、コミュニティが作成した PyWeMo と呼ばれる Python アプリを使用して Wemo アプリを回避します。, 攻撃者がデバイス名を次のものに変更できるようにします。 30 文字, バッファオーバーフローとリモートコマンドインジェクションが発生する.

不運にも, ベルキンはスターナムに、この装置が寿命に達したことを伝えた, したがって、修正は受けられません. このバグは Mitre Corporation に報告され、CVE-2023-27217 コードが割り当てられました。.

Wemo スマート プラグをまだ所有している場合, デバイスの UPnP ポートをインターネットに公開したり、ネットワークをセグメント化して機密情報が含まれる Wi-Fi 接続デバイスから隔離したりすることは避けることをお勧めします。. これらは一般に、インターネットに接続された IoT デバイスに対して実行する適切な手順ですが、, 必ずしも信頼できる解決策であるとは限りません.

CVE-2023-27217 から保護する方法

この問題から保護するには, 胸骨の研究者が示唆する 彼らのレポートで Wemo Smart Plug V2 UPNP ポートがインターネットに公開されていないこと, 直接またはポート転送経由で. Smart Plug V2 が機密性の高いネットワーク内で使用されている場合, 適切にセグメント化され、同じサブネット上の他の機密デバイスと通信できないようにする必要があります。.