Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Bitdefender a identifié deux failles dans la prise connectée WeMo Insight, Belkin a déployé un correctif

Elles permettaient à un attaquant « d’accéder au réseau local, d’obtenir l’exécution de code sur l’appareil, ou un accès root au système de fichiers s’ils ont un accès physique à l’unité ». Elles portent les références CVE-2019-17094 et CVE-2019-17097.

Belkin a été informé mi-juin et un premier correctif disponible le 29 juillet. Il a ensuite été déployé aux clients le 19 août avec la mise à jour 11408. Tous les détails sont disponibles dans ce livre blanc.

6 commentaires
Avatar de Jossy Abonné
Avatar de JossyJossy- 13/12/19 à 12:17:53

Un accès root au système de fichiers ? :zarb: Sur la prise ? Sur l'appareil connecté à la prise ? J'avoue que là je ne vois pas trop comment...

Ou alors sur le téléphone qui commande la prise ? Ca manque un peu de détails...

Avatar de DoGg Abonné
Avatar de DoGgDoGg- 13/12/19 à 13:33:37

La première faille porte sur l'OS de la prise connectée et permet d'exécuter du code arbitraire sur cette dernière. C'est à dire qu'elle ne fourni pas un accès root direct, mais elle pourrait le faire en la combinant à une éventuelle autre faille (non discutée dans le livre blanc).
Elle nécessite que l'attaquant ait déjà un accès au réseau local (cf le livre blanc):
 
"This attack is local – in order to exploit the vulnerabilities, an attacker would already need presence inside the device’s network. While this limits exploitation, there are several circumstances where a threat actor would legitimately be able to join the local network (coffee shops, hotels, co-working spaces)."

La deuxième faille nécessite de se raccorder physiquement à la prise via les pin UART (port série). Et permet d'obtenir un accès root.
 
Une fois la prise de contrôle réussie, on peut imaginer que d'autres attaques sont possibles envers les terminaux connectés au réseau local, y compris le smartphone qui controle la prise, mais ce n'est pas l'objet de ces CVE.

Édité par DoGg le 13/12/2019 à 13:37
Avatar de Jossy Abonné
Avatar de JossyJossy- 14/12/19 à 09:43:48

Ok merci pour les détails !

Avatar de Ricard INpactien
Avatar de RicardRicard- 14/12/19 à 16:08:36

Une tempête dans un verre d'eau en somme.:D

Avatar de psn00ps Abonné
Avatar de psn00pspsn00ps- 25/12/19 à 13:23:26

Non, cf le commentaire de DoGg.

Avatar de Ricard INpactien
Avatar de RicardRicard- 26/12/19 à 09:46:59

psn00ps a écrit :

Non, cf le commentaire de DoGg.

Nécessite un accès local, avec branchement physique... Brrrrr, je tremble déjà.

Il n'est plus possible de commenter cette actualité.