Компания ESET — лидер в области информационной безопасности — предупреждает о выявлении серьезных уязвимостей в безопасности трех различных домашних центров для управления системой умного дома — Fibaro Home Center Lite, Home Matic Central Control Unit (CCU2) и eLAN-RF-003.
Эти устройства используются для мониторинга и контроля системы умного дома и других сред в тысячах домах и в небольших офисах по всему миру. Однако из-за работы большинства сотрудников дома уязвимости в таких системах могут стать потенциальным вектором атак на предприятия.
Специалисты ESET выявили ряд уязвимостей, которые могут быть использованы злоумышленниками для осуществления атак методом Man-in-the-Middle (MitM), подслушивания жертв, создания бэкдоров или доступа к определенным системам и их содержимому. В худшем случае, эти проблемы могут даже позволить злоумышленникам взять под контроль центральный блок и все подключенные к нему девайсы.
«Мы обнаружили, что наличие уязвимостей в устройствах IoT является распространенной проблемой. Наше исследование также показывает, что недостатки в настройках, отсутствие шифрования или аутентификации существуют не только в дешевых девайсах, но также присутствуют в аппаратном обеспечении высокого класса», — комментирует Ондрей Кубович, специалист по кибербезопасности компании ESET.
В каких устройствах были обнаружены уязвимости умного дома?
Одним из уязвимых устройств стал Fibaro Home Center Lite — контроллер домашней автоматизации, предназначенный для управления различными устройствами IoT. Специалисты ESET нашли ряд серьезных недостатков, которые могут открыть доступ для посторонних пользователей и злоумышленников. В частности, одна из уязвимостей умного дома позволяет киберпреступникам создать бэкдор SSH и получить полный контроль над целевым устройством. После получения сообщения об обнаруженной уязвимости умного дома производитель быстро исправил недостаток.
В центральном устройстве системы Homematic CCU2 также было выявлено недостаток безопасности во время тестирования ESET, а именно способность злоумышленников осуществлять несанкционированное выполнение удаленного кода (RCE) от имени пользователя root. Эта уязвимость умного дома могла позволить злоумышленникам получить полный доступ к системе Homematic CCU2 и к подключенным девайсам. Стоит отметить, что уязвимость умного дома была немедленно исправлена производителем.
Третьим примером является умный коммуникатор eLAN-RF-003, который позволяет пользователю управлять различными домашними системами через приложение на смартфоне, смарт-часах, планшете или смарт-телевизоре.
Результаты тестирования ESET показали, что подключение системы к Интернету или даже управления им в своей локальной сети может быть потенциально опасным для пользователя через ряд критических недостатков. В частности, к ним относится некорректная проверка аутентификации команд, которая позволяет выполнять все действия без входа в систему, или радиосвязь с девайсами, которые уязвимы к атакам вида повторного воспроизведения. Производитель исправил некоторые уязвимости умного дома и сосредоточился на разработке нового поколения устройств.
Поэтому всем владельцам систем умного дома рекомендуется обновить все IoT-устройства для уменьшения рисков заражения вредоносным ПО, а также во избежание атак киберпреступников.
Более подробная информация о уязвимостях умного дома доступна по ссылке.