En la variante popular del centro de control del hogar inteligente HomeMatic, FrambuesaLos atacantes pueden aprovechar la vulnerabilidad para inyectar y ejecutar código malicioso. Esto les permitirá controlar la casa inteligente y los dispositivos que controla (CVE-2022-24796, CVSS 10.0riesgo crítico). Hay actualizaciones disponibles para corregir la vulnerabilidad.
Detalles de la brecha
La opción de carga en WebUI, que está diseñada para descargar actualizaciones de firmware, puede permitir que los atacantes inyecten cualquier comando. La secuencia de comandos cgi, que se encuentra en el lado del servidor y está disponible de forma predeterminada a través de un servidor HTTP en el puerto TCP 80/443, no filtra adecuadamente la entrada del usuario. Pasa datos a una función peligrosa de la que se puede abusar para ejecutar un shellcode arbitrario en el contexto de la raíz de WebUI, dice el mantenedor del proyecto. Jens Mouse en un informe de advertencia de seguridad.
Se puede abusar de la vulnerabilidad a través de solicitudes HTTP simples. Los comandos inyectados se ejecutarán como root y, por lo tanto, comprometerán por completo la plataforma y todos sus componentes. Según el ratón, las versiones RaspberryMatic de 2.31.25.20180428 Hasta el final 3.61.7.20220226.
Actualizar rápidamente
El proyecto lanzó la versión 3.63.8.20220330 de RaspberryMatic, que corrige la vulnerabilidad crítica. Según las notas de publicación Sin embargo, esta es una nueva versión importante que incluye muchos otros cambios y mejoras.
Las descargas para varias plataformas compatibles también están vinculadas en las notas de la versión. Si los usuarios no pueden importar la actualización de inmediato, al menos deben restringir las opciones de acceso externo, como eliminar el reenvío de puertos en su enrutador de Internet al sistema RaspberryMatic. En general, estos sistemas domésticos inteligentes no deben colocarse directamente en Internet por razones de seguridad.
(DMK)
More Stories
Lanzamiento de un nuevo juego de cartas coleccionables para Android e iOS
En retrospectiva en Apple: ya no hay MacBooks con 8GB de RAM
En lugar de la descripción general de audio NotebookLM de Google: Meta trae NotebookLlama