在Fortress S03 Wi-Fi家庭安全系統中發現了新安全漏洞,這些漏洞可能會被濫用,并使攻擊者獲得未經授權的訪問,以改變系統行為,包括在受害者不知情的情況下解除警報。
這兩個未修復的問題分別在CVE-2021-39276 (CVSS評分5.3)和CVE-2021-39277 (CVSS評分5.7)標識下被跟蹤,由網絡安全公司Rapid7于2021年5月發現并報告的,并規定了60天的修復期限。
Fortress S03 Wi-Fi家庭安全系統是一種自助 (DIY) 警報系統,通過利用Wi-Fi和RFID 技術,無需鑰匙即可保護他們的家庭和小型企業免受竊賊、火災、煤氣泄漏和漏水的侵害。據其網站稱,該公司的安全和監控系統被“成千上萬的客戶和長期客戶”使用。
Rapid7研究人員稱這些漏洞“非常容易利用”,并指出CVE-2021-39276涉及未經身份驗證的API訪問,該訪問使擁有受害者電子郵件地址的攻擊者能夠查詢API以泄露設備的國際移動設備身份(IMEI)號碼,也可以作為序列號加倍。有了設備的IMEI號碼和電子郵件地址,攻擊者就可以進行一些未經授權的更改,例如通過未經身份驗證的POST請求禁用警報系統。
另一方面,CVE-2021-39277與射頻信號重放攻擊有關,其中缺乏足夠的加密使攻擊者能夠使用軟件定義無線電 (SDR) 捕獲無線電頻率命令和控制空中通信,并回放傳輸以在目標設備上執行特定功能,例如“布防”和“撤防”操作。
“對于CVE-2021-39276,攻擊者知道Fortress S03用戶的電子郵件地址,可以在用戶不知情的情況下輕松解除安裝的家庭警報。”研究人員在一份報告中表示。
“CVE-2021-39277提出了類似的問題,但對受害者的事先了解較少,因為攻擊者可以簡單地監視財產,并等待受害者在無線電范圍內使用射頻控制設備。攻擊者隨后可以在受害者不知情的情況下重放‘解除武裝’命令。”
鑒于問題仍然存在,建議用戶使用唯一的一次性電子郵件地址配置他們的警報系統,以解決IMEI號碼暴露問題。
“對于CVE-2021-39277來說,如果沒有固件更新來加強對射頻信號的加密控制,用戶似乎很難緩解射頻重放問題的影響。擔心這種暴露的用戶應該避免使用關鍵的密鑰卡和其他射頻設備連接到他們的家庭安全系統,”研究人員說。
90%的網絡安全問題都與軟件安全漏洞被利用有關,5G時代,網絡安全威脅無處不在,病毒查殺軟件、防火墻、入侵檢測這三個傳統防護手段已經難以應對不斷進化翻新的網絡攻擊及惡意軟件,提高軟件自身安全性已成為現有網絡安全防護手段的重要補充。尤其在軟件開發階段使用安全可信的靜態代碼檢測工具實時檢測、修復代碼漏洞可以有效提升軟件本身的安全屬性,在增強抵抗網絡攻擊能力的同時,為企業及個人降低網絡安全風險。
參讀鏈接:
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/119029.html