Компанія ESET — лідер в галузі інформаційної безпеки — попереджає про виявлення серйозних уразливостей в безпеці трьох різних домашніх центрів для управління системою розумного дому — Fibaro Home Center Lite, Home Matic Central Control Unit (CCU2) та eLAN-RF-003.
Ці пристрої використовуються для моніторингу та контролю системи розумного дому та інших середовищ у тисячах будинках та в невеликих офісах у всьому світі. Однак через роботу більшості співробітників вдома уразливості в таких системах можуть стати потенційним вектором атак на підприємства.
Спеціалісти ESET виявили ряд уразливостей, які можуть бути використані зловмисниками для здійснення атак методом Man-in-the-Middle (MitM), підслуховування жертв, створення бекдорів або отримання доступу до деяких пристроїв та їх вмісту. У гіршому випадку, ці проблеми можуть навіть дозволити зловмисникам взяти під контроль центральний блок та всі підключені до нього девайси.
«Ми виявили, що наявність уразливостей в пристроях IoT є поширеною проблемою. Наше дослідження також доводить, що недоліки в налаштуваннях, відсутність шифрування чи аутентифікації наявні не тільки в дешевих девайсах, але й також присутні в апаратному забезпеченні високого класу»,— коментує Ондрей Кубович, спеціаліст з кібербезпеки компанії ESET.
В яких пристроях були виявлені уразливості розумного дому?
Одним з уразливих пристроїв став Fibaro Home Center Lite — контролер домашньої автоматизації, призначений для управління різними пристроями IoT. Спеціалісти ESET знайшли ряд серйозних недоліків, які можуть відкрити доступ для сторонніх користувачів та зловмисників. Зокрема одна з уразливостей розумного дому дозволяє кіберзлочинцям створити бекдор SSH та отримати повний контроль над цільовим пристроєм. Після отримання повідомлення про виявлену уразливість розумного дому виробник швидко виправив недолік.
В центральному пристрої системи розумного дому Homematic CCU2 також було виявлено недолік безпеки під час тестування ESET, а саме здатність зловмисника здійснювати несанкціоноване виконання віддаленого коду (RCE) від імені користувача root. Ця уразливість розумного дому могла дозволити зловмисникам отримати повний доступ до системи Homematic CCU2 та до підключених девайсів. Варто зазначити, що уразливість розумного дому була негайно виправлена виробником.
Третім прикладом є розумний комунікатор eLAN-RF-003, який дозволяє користувачу керувати різноманітними домашніми системами через додаток на смартфоні, смарт-годиннику, планшеті або смарт-телевізорі.
Результати тестування ESET показали, що підключення системи до Інтернету або навіть керування ним у своїй локальній мережі може бути потенційно небезпечним для користувача через низку критичних недоліків. Зокрема до них відноситься некоректна перевірка аутентифікації команд, яка дозволяла виконувати всі дії без входу в систему, або радіозв'язок з девайсами, які уразливі до атак типу повторного відтворення. Виробник виправив деякі уразливості розумного дому та зосередився на розробці нового покоління пристроїв.
Тому всім власникам систем розумного будинку рекомендується оновити всі IoT-пристрої для зменшення ризиків інфікування шкідливим ПЗ, а також для уникнення атак кіберзлочинців.
Більш детальна інформація про уразливості розумного дому доступна за посиланням.