O
Team82 da Claroty revelou recentemente dez vulnerabilidades na plataforma em
nuvem OvrC, que colocam dispositivos IoT em risco de invasão, execução de
códigos maliciosos e interrupções operacionais. Atualizações para correção dos
problemas já estão disponíveis
Uma pesquisa recente do Team82 da Claroty revelou dez vulnerabilidades críticas na plataforma em nuvem OvrC, utilizada por empresas e consumidores para gerenciar dispositivos IoT remotamente. Essas vulnerabilidades permitem que invasores assumam o controle de dispositivos conectados à nuvem, executando códigos remotamente. Entre os dispositivos afetados estão câmeras, roteadores, sistemas de automação residencial e fontes de alimentação elétrica inteligentes.
O OvrC foi adquirido pela SnapOne em 2014, uma empresa sediada na Carolina do Norte fundada em 2005 por um grupo de integradores focados em tecnologias de automação, especificamente em torno de dispositivos IoT inteligentes. Trata-se de uma plataforma popular para monitoramento e configuração remota de dispositivos inteligentes, utilizada tanto por integradores de sistemas quanto por consumidores finais. De acordo com um webinar do OvrC de 2020, cerca de 9,2 milhões de dispositivos foram monitorados pela plataforma, então é seguro assumir que as vulnerabilidades que o Team82 da Claroty relatou afetaram cerca de 10 milhões de dispositivos em todo o mundo. A plataforma se destaca por oferecer interface para aplicativos móveis e de comunicação via WebSocket visando o controle e diagnóstico de equipamentos.
O estudo identificou
problemas recorrentes na segurança do fluxo de comunicação entre os
dispositivos e a nuvem. Entre os fatores destacados estão o uso de controles
fracos de acesso, desvios de autenticação, falha na validação de entrada,
credenciais codificadas e falhas de execução remota de códigos. Um invasor que
explorasse remotamente essas vulnerabilidades, por exemplo, não apenas
conseguiria ignorar a segurança do perímetro, como firewalls e tradução de
endereços de rede (NAT), para obter acesso à interface de gerenciamento na
nuvem, mas também conseguiria enumerar e criar perfis de dispositivos,
sequestrar dispositivos, elevar privilégios e executar código arbitrário.
Nenhum comentário:
Postar um comentário