mayo 23, 2022

CORSA Online

Información sobre Argentina. Seleccione los temas sobre los que desea obtener más información en Corsa Online

Hogar inteligente: adquisición posible debido a vulnerabilidad crítica en RaspberryMatic

En la variante popular del centro de control del hogar inteligente HomeMatic, FrambuesaLos atacantes pueden aprovechar la vulnerabilidad para inyectar y ejecutar código malicioso. Esto les permitirá controlar la casa inteligente y los dispositivos que controla (CVE-2022-24796, CVSS 10.0riesgo crítico). Hay actualizaciones disponibles para corregir la vulnerabilidad.

La opción de carga en WebUI, que está diseñada para descargar actualizaciones de firmware, puede permitir que los atacantes inyecten cualquier comando. La secuencia de comandos cgi, que se encuentra en el lado del servidor y está disponible de forma predeterminada a través de un servidor HTTP en el puerto TCP 80/443, no filtra adecuadamente la entrada del usuario. Pasa datos a una función peligrosa de la que se puede abusar para ejecutar un shellcode arbitrario en el contexto de la raíz de WebUI, dice el mantenedor del proyecto. Jens Mouse en un informe de advertencia de seguridad.

Se puede abusar de la vulnerabilidad a través de solicitudes HTTP simples. Los comandos inyectados se ejecutarán como root y, por lo tanto, comprometerán por completo la plataforma y todos sus componentes. Según el ratón, las versiones RaspberryMatic de 2.31.25.20180428 Hasta el final 3.61.7.20220226.

El proyecto lanzó la versión 3.63.8.20220330 de RaspberryMatic, que corrige la vulnerabilidad crítica. Según las notas de publicación Sin embargo, esta es una nueva versión importante que incluye muchos otros cambios y mejoras.

Las descargas para varias plataformas compatibles también están vinculadas en las notas de la versión. Si los usuarios no pueden importar la actualización de inmediato, al menos deben restringir las opciones de acceso externo, como eliminar el reenvío de puertos en su enrutador de Internet al sistema RaspberryMatic. En general, estos sistemas domésticos inteligentes no deben colocarse directamente en Internet por razones de seguridad.

READ  Estos 11 cambios vienen este año


(DMK)

a la página de inicio