Analisis keamanan platform cloud OvrC telah mengungkap 10 kerentanan yang dapat dirantai untuk memungkinkan calon penyerang mengeksekusi kode dari jarak jauh pada perangkat yang terhubung.
“Penyerang yang berhasil mengeksploitasi kerentanan ini dapat mengakses, mengontrol, dan mengganggu perangkat yang didukung oleh OvrC; beberapa di antaranya termasuk pasokan listrik pintar, kamera, router, sistem otomasi rumah, dan banyak lagi,” kata peneliti Claroty Uri Katz dalam laporan teknisnya.
OvrC Snap One, diucapkan “mengawasi”, diiklankan sebagai “platform dukungan revolusioner” yang memungkinkan pemilik rumah dan bisnis mengelola, mengonfigurasi, dan memecahkan masalah perangkat IoT di jaringan dari jarak jauh. Menurut situs webnya, solusi OvrC diterapkan di lebih dari 500.000 lokasi pengguna akhir.
Menurut saran terkoordinasi yang dikeluarkan oleh Badan Keamanan Siber dan Infrastruktur AS (CISA), keberhasilan eksploitasi terhadap kerentanan yang teridentifikasi dapat memungkinkan penyerang untuk “menyamar dan mengklaim perangkat, mengeksekusi kode arbitrer, dan mengungkapkan informasi tentang perangkat yang terpengaruh.”
Kelemahan tersebut diketahui berdampak pada OvrC Pro dan OvrC Connect, dan perusahaan merilis perbaikan untuk delapan di antaranya pada Mei 2023 dan dua sisanya pada 12 November 2024.
“Banyak dari masalah yang kami temukan muncul karena pengabaian antarmuka perangkat-ke-cloud,” kata Katz. “Dalam banyak kasus ini, masalah intinya adalah kemampuan untuk melakukan klaim silang terhadap perangkat IoT karena pengidentifikasi yang lemah atau bug serupa. Masalah ini berkisar dari kontrol akses yang lemah, bypass autentikasi, validasi input yang gagal, kredensial hardcode, dan kelemahan eksekusi kode jarak jauh. .”
Akibatnya, penyerang jarak jauh dapat menyalahgunakan kerentanan ini untuk melewati firewall dan mendapatkan akses tidak sah ke antarmuka manajemen berbasis cloud. Lebih buruk lagi, akses tersebut kemudian dapat digunakan untuk menghitung dan membuat profil perangkat, membajak perangkat, meningkatkan hak istimewa, dan bahkan menjalankan kode arbitrer.
Cacat yang paling parah tercantum di bawah ini –
- CVE-2023-28649 (skor CVSS v4: 9.2), yang memungkinkan penyerang menyamar sebagai hub dan membajak perangkat
- CVE-2023-31241 (skor CVSS v4: 9.2), yang memungkinkan penyerang mengklaim perangkat sewenang-wenang yang tidak diklaim dengan mengabaikan persyaratan nomor seri
- CVE-2023-28386 (skor CVSS v4: 9.2), yang memungkinkan penyerang mengunggah pembaruan firmware sewenang-wenang yang mengakibatkan eksekusi kode
- CVE-2024-50381 (skor CVSS v4: 9.1), yang memungkinkan penyerang meniru identitas hub dan membatalkan klaim perangkat secara sewenang-wenang dan kemudian mengeksploitasi kelemahan lain untuk mengklaimnya
“Dengan semakin banyaknya perangkat yang online setiap hari dan manajemen cloud menjadi cara dominan dalam mengonfigurasi dan mengakses layanan, lebih dari sebelumnya, dorongan ada pada produsen dan penyedia layanan cloud untuk mengamankan perangkat dan koneksi ini,” kata Katz. “Dampak negatifnya dapat berdampak pada pasokan listrik yang terhubung, router bisnis, sistem otomasi rumah, dan banyak lagi yang terhubung ke cloud OvrC.”
Pengungkapan ini muncul ketika Nozomi Networks merinci tiga kelemahan keamanan yang berdampak pada EmbedThis GoAhead, server web ringkas yang digunakan pada perangkat tertanam dan IoT, yang dapat menyebabkan penolakan layanan (DoS) dalam kondisi tertentu. Kerentanan (CVE-2024-3184, CVE-2024-3186, dan CVE-2024-3187) telah ditambal di GoAhead versi 6.0.1.
Dalam beberapa bulan terakhir, berbagai kelemahan keamanan juga ditemukan di Layanan Web exacqVision Johnson Controls yang dapat digabungkan untuk mengambil kendali aliran video dari kamera pengintai yang terhubung ke aplikasi dan mencuri kredensial.