11 月 16 日消息���,安全公司 Claroty發布報告�,曝光了一款海外流行的物聯網設備云端管理平臺 Ovr 內含的一系列重大漏洞。安全公司聲稱黑客可以接連利用這些漏洞實現在物聯網設備上遠程執行惡意代碼,而根據 CVSS 風險評估�,部分曝光的漏洞風險評分高達 9.2(滿分 10 分)���。Ivt28資訊網——每日最新資訊28at.com
據悉���,OvrC 物聯網平臺的主要功能是通過移動應用或基于 Web Socket 的界面為用戶提供遠程配置管理�����、運行狀態監控等服務。自動化公司 SnapOne 在 2014 年收購了該平臺,在 2020 年聲稱 OvrC 已擁有約 920 萬臺設備��,而如今該平臺預計坐擁 1000 萬臺設備��。Ivt28資訊網——每日最新資訊28at.com
Ivt28資訊網——每日最新資訊28at.com
▲OvrC 物聯網平臺下的設備
IT酷哥參考安全報告獲悉�����,相關漏洞主要包括輸入驗證不足����、不當的訪問控制�����、敏感信息以明文傳輸�、數據完整性驗證不足��、開放式重定向����、硬編碼密碼��、繞過身份驗證等,此類漏洞大多源于設備與云端接口的安全設計缺陷,黑客可利用漏洞繞過防火墻��,避開網絡地址轉換(NAT)等安全機制����,從而在平臺設備上運行惡意代碼。Ivt28資訊網——每日最新資訊28at.com
參考 CVSS 風險評分��,4 個被評為高危的漏洞分別是:輸入驗證不足漏洞 CVE-2023-28649�、不當訪問控制漏洞 CVE-2023-31241、數據完整性驗證不足漏洞 CVE-2023-28386����,以及關鍵功能缺乏認證漏洞 CVE-2024-50381���,這些漏洞的評分在 9.1 至 9.2 之間�����。Ivt28資訊網——每日最新資訊28at.com
關于漏洞的具體利用方式,研究人員指出��,黑客可以先利用 CVE-2023-28412 漏洞獲取所有受管設備的列表�,再通過 CVE-2023-28649 和 CVE-2024-50381 漏洞強制設備進入“未聲明所有權”(Unclaim)狀態。隨后黑客即可利用 CVE-2023-31241 漏洞將 MAC 地址與設備 ID 匹配��,并通過設備 ID 重新聲明設備所有權����,最終實現遠程執行代碼。Ivt28資訊網——每日最新資訊28at.com
Ivt28資訊網——每日最新資訊28at.com
值得注意的是,在研究人員報告后,大部分問題已于去年 5 月被修復��,但仍有兩個漏洞直到本月才得到解決�,目前,該平臺已完全修復相應漏洞��。Ivt28資訊網——每日最新資訊28at.com
本文鏈接:http://www.tebozhan.com/showinfo-26-126000-0.html海外流行物聯網云平臺 OvrC 曝一系列重大漏洞�,黑客可遠程執行惡意代碼
聲明:本網頁內容旨在傳播知識,若有侵權等問題請及時與本網聯系���,我們將在第一時間刪除處理��。郵件:2376512515@qq.com
上一篇: TCL 華星宣布印刷 OLED 正式量產�����,發布全新技術品牌 APEX
下一篇: 三星電子:計劃未來一年內分期回購約 10 萬億韓元股份
標簽:
津公網安備 12010102000574號