Выявлена уязвимость в P2P-компоненте, позволяющая удаленно скомпрометировать миллионы IoT-устройств
Независимый эксперт в области кибербезопасности Пол Маррапиз выявил уязвимости в Peer-to-peer-компоненте iLnkP2P производства китайской компании Shenzhen Yunni Technology Company. Бреши позволяют удаленно скомпрометировать миллионы IoT-устройств под сотнями брендов, в которых использован iLnkP2P, пишет SecurityLab.
Компонент позволяет пользователям удаленно подключаться к таким гаджетам, как IP-камеры, радионяни, умные дверные звонки, видеорегистраторы и многие другие. По данным эксперта, сейчас в Сети насчитывается более 2 млн доступных устройств, из которых 39% расположены в Китае, 19% - в Европе и 7% - в США. Примерно половина уязвимых гаджетов была произведена китайской компанией Hichip. В группу риска также попали TENVIS, SV3C, VStarcam, Wanscam, NEO Coolcam, Sricam, Eye Sight и HVCAM и другие производители.
Первая проблема (CVE-2019-11219) позволяет злоумышленнику идентифицировать уязвимое устройство, а вторая уязвимость (CVE-2019-11220) - перехватить соединение с гаджетом и осуществить атаку «человек посередине». С помощью совместной эксплуатации багов атакующий сможет похитить пароли и удаленно скомпрометировать устройства. Для этого ему потребуется всего лишь знать IP-адрес используемого устройством P2P-сервера.
Маррапиз попытался связаться с производителями уязвимых устройств еще в январе нынешнего года, однако ни один вендор так и не отреагировал на его сообщения.
Подписаться на новости
Обсудить
Компонент позволяет пользователям удаленно подключаться к таким гаджетам, как IP-камеры, радионяни, умные дверные звонки, видеорегистраторы и многие другие. По данным эксперта, сейчас в Сети насчитывается более 2 млн доступных устройств, из которых 39% расположены в Китае, 19% - в Европе и 7% - в США. Примерно половина уязвимых гаджетов была произведена китайской компанией Hichip. В группу риска также попали TENVIS, SV3C, VStarcam, Wanscam, NEO Coolcam, Sricam, Eye Sight и HVCAM и другие производители.
Первая проблема (CVE-2019-11219) позволяет злоумышленнику идентифицировать уязвимое устройство, а вторая уязвимость (CVE-2019-11220) - перехватить соединение с гаджетом и осуществить атаку «человек посередине». С помощью совместной эксплуатации багов атакующий сможет похитить пароли и удаленно скомпрометировать устройства. Для этого ему потребуется всего лишь знать IP-адрес используемого устройством P2P-сервера.
Маррапиз попытался связаться с производителями уязвимых устройств еще в январе нынешнего года, однако ни один вендор так и не отреагировал на его сообщения.
Назад