Спецпроекты

Eset обнаружил критические уязвимости в контроллерах «умного дома»

Безопасность Стратегия безопасности Пользователю Техника Маркет

Eset, международный эксперт в области информационной безопасности, обнаружил критические уязвимости в трех контроллерах «умного дома» — Fibaro Home Center Lite, Home Matic Central Control Unit (CCU2) и eLAN-RF-003. Они используются в небольших офисах и домашних сетях по всему миру.

Найденные уязвимости могут быть использованы для осуществления атак методом Man-in-the-Middle, когда злоумышленник перехватывает данные, передаваемые между каналами связи, извлекает полезную информацию и при необходимости даже подменяет ее. Киберпреступник способен установить контроль над центральным блоком и всеми подключенными к нему девайсами.

Одним из уязвимых устройств стал Fibaro Home Center Lite — контроллер, предназначенный для управления устройствами интернета вещей (IoT). Эксперты Eset обнаружили ряд серьезных недостатков, с помощью которых злоумышленник может получить несанкционированный доступ. В частности, одна из уязвимостей дает возможность создать бэкдор SSH, подобрать пароль методом брутфорса и установить полный контроль над устройством.

В устройстве Homematic CCU2 обнаружена RCE-уязвимость, при помощи которой обеспечивается удаленное выполнение кода. Таким образом злоумышленник мог бы легко получить доступ к системе «умного дома» и всем подключенным к ней гаджетам.

Эксперты Eset также сообщили о проблемах в версии прошивки устройства eLAN-RF-003 2.9.079, среди которых отсутствие реализации SSL-шифрования, некорректные проверки подлинности, позволяющие выполнять команды без авторизации. Их опасность состоит в том, что данный девайс позволяет пользователю управлять различными домашними системами через приложение на смартфоне, смарт-часах, планшете или телевизоре.

Благодаря своевременному обнаружению уязвимостей экспертами Eset, производители уже выпустили обновления.