物联网云平台 OvrC 曝一系列漏洞,黑客可远程执行恶意代码

图灵汇官网

图灵汇 11 月 16 日消息,安全公司 Claroty 发布了一份报告,揭示了一款海外流行的物联网设备云端管理平台 OvrC 存在的一系列严重漏洞。报告指出,黑客可以利用这些漏洞在物联网设备上远程执行恶意代码,其中部分漏洞的风险评分高达 9.2(满分 10 分)。

OvrC 物联网平台主要提供远程配置管理和运行状态监控等功能。该平台由自动化公司 SnapOne 在 2014 年收购,并在 2020 年宣布已连接约 920 万台设备,目前预计已连接超过 1000 万台设备。

据安全报告披露,OvrC 平台存在多个关键漏洞,包括输入验证不足、访问控制不当、敏感信息明文传输、数据完整性验证不足、开放式重定向、硬编码密码以及绕过身份验证等问题。这些漏洞大多源于设备与云端接口的安全设计缺陷,使得黑客能够绕过防火墙和 NAT 等安全机制,在平台上运行恶意代码。

CVSS 风险评分显示,四个高危漏洞分别为:CVE-2023-28649(输入验证不足漏洞)、CVE-2023-31241(访问控制不当漏洞)、CVE-2023-28386(数据完整性验证不足漏洞)和 CVE-2024-50381(关键功能缺乏认证漏洞),其评分均在 9.1 至 9.2 之间。

研究人员指出,黑客可以通过利用 CVE-2023-28412 漏洞获取所有受控设备的列表,再通过 CVE-2023-28649 和 CVE-2024-50381 漏洞使设备进入“未声明所有权”状态,然后利用 CVE-2023-31241 漏洞将 MAC 地址与设备 ID 匹配,并通过设备 ID 重新声明设备所有权,最终实现远程执行代码。

幸运的是,在研究人员报告这些问题后,大部分漏洞已在去年 5 月得到修复,但仍有少数漏洞直到本月才被解决。目前,该平台已经修复了所有相关漏洞。

本文来源: 互联网 文章作者: 科技茶会
    下一篇

导读:IT之家 4 月 17 日消息,DIGITIMES Research 报告称,全球蜂窝式物联网新芯片开发步调虽趋缓,但因终端应用遍及多领域,物联网装置连接数量仍将持续增加,加上在 2G/ 3G