可用

宜家智能照明系统发现漏洞,可能导致灯泡闪烁恢复出厂设置

  • 浏览次数 12598
  • 喜欢 0
  • 评分 12345

据The Record报道,研究人员在宜家的智能照明系统中发现了两个漏洞,允许攻击者控制该系统并使灯泡快速闪烁,还可能导致恢复出厂设置。

两个漏洞影响了宜家的E1526型Trådfri网关1.17.44及之前版本。该产品的价格约为80美元,通常用于照亮书架和梳妆台。

1665375290_63439c3a1648ca64c227a

Synopsys网络安全研究中心的Kari Hulkko和Tuomo Untinen表示,他们在2021年6月就将这两个漏洞(CVE-2022-39064和CVE-2022-39065)告知宜家。CVE-2022-39064的CVSS评分为7.1,其核心是Zigbee协议,一种用于无线电、医疗设备和家庭自动化工具等低功率、低数据率设备的无线网络类型。

该漏洞允许攻击者通过该协议发送一个恶意帧,使宜家的TRÅDFRI灯泡闪烁。如果攻击者多次重发该恶意信息,灯泡就会执行出厂重置。

2021年10月底,宜家回应称,正在制作一个漏洞修复程序。该公司在2022年2月16日公布了CVE-2022-39065的修复方案,并在6月公布了CVE-2022-39064的部分补救措施。

宜家的一位发言人向媒体表示,自披露以来,该公司已与Synopsys合作,以改善其智能设备的安全和功能。该发言人表示,由于Zigbee协议的设计,所发现的问题并没有危及客户安全,攻击者不能获得TRÅDFRI网关或智能设备内的敏感信息。

Hulkko和Untinen说,虽然CVE-2022-39065已经在所有1.19.26或更高版本的软件中得到解决,但CVE-2022-39064还没有得到完全处理。“V-2.3.091版本修复了一些畸形帧的问题,但不是所有已知的畸形帧,”他们说,并分享了该漏洞的一个视频。宜家没有回应关于何时发布完整补丁的评论请求。

物联网安全公司Viakoo首席执行官Bud Broomhead解释说,像这样的漏洞的危险性在于它可以导致出厂重置。对于许多Zigbee和相关的物联网设备,这可能会导致物联网设备连接到威胁行为者控制的Zigbee网络。

他指出:“很庆幸这只是灯泡,而不是门锁、摄像机或工业控制系统,所有这些都可以通过Zigbee连接,被攻破和利用后会产生更多的破坏性后果。”

 


转自 Freebuf,原文链接:https://www.freebuf.com/articles/network/346423.html

封面来源于网络,如有侵权请联系删除