اكتشف الخبراء ثغرات أمنية في نظام iLnkP2P نظير إلى نظير (P2P) الذي يعرض ملايين أجهزة إنترنت الأشياء لهجمات عن بُعد.
اكتشف خبير الأمن Paul Marrapese ثغرة أمنية خطيرة في نظام iLnkP2P P2P الذي طورته شركة Shenzhen Yunni Technology Company، Inc. ، ويسمح نظام iLnkP2P للمستخدمين بالاتصال عن بُعد بأجهزة إنترنت الأشياء الخاصة بهم باستخدام هاتف محمول أو كمبيوتر شخصي.
تشمل أجهزة إنترنت الأشياء المتأثرة المحتملة الكاميرات وأجراس الأبواب الذكية.
تم اعتماد iLnkP2P على نطاق واسع من خلال الأجهزة التي يتم تسويقها من العديد من البائعين ، بما في ذلك Hichip و TENVIS و SV3C و VStarcam و Wanscam و NEO Coolcam و Sricam و Eye Sight و HVCAM.
حدد الخبير أكثر من 2 مليون جهاز معرض للخطر على الإنترنت ،
يوجد 39٪ منهم في الصين و 19٪ في أوروبا و 7٪ في الولايات المتحدة. يتم تصنيع حوالي 50٪ من الأجهزة المعرضة للخطر بواسطة شركة Hichip الصينية.
أول خلل في iLnkP2P يتم تتبعه على أنه CVE-2019-11219 هو ثغرة تعداد يمكن استغلالها بواسطة مهاجم لاكتشاف الأجهزة المكشوفة عبر الإنترنت. يمكن استغلال المشكلة الثانية التي تم تتبعها على أنها CVE-2019-11220 بواسطة مهاجم لاعتراض الاتصالات بالأجهزة الضعيفة والقيام بهجمات من رجل (وسط).
يمكن للمهاجم وضع سلسلة من المشكلات لسرقة سرقة كلمة المرور وربما تعريض الأجهزة عن بُعد للخطر ، فهو يحتاج فقط إلى معرفة عنوان IP لخادم P2P المستخدم بواسطة الجهاز.
قام Marrapese أيضًا ببناء هجوم إثبات للمفهوم لتوضيح كيفية سرقة كلمات المرور من الأجهزة عن طريق إساءة استخدام ميزة "نبضات القلب" المضمنة ، لكنه لن يطلقها لمنع إساءة الاستخدام.
"عند الاتصال بشبكة ، سترسل أجهزة iLnkP2P بانتظام نبضات أو رسالة" أنا هنا "إلى خوادم P2P التي تم تكوينها مسبقًا وتنتظر المزيد من التعليمات".
"سوف يقوم خادم P2P بتوجيه طلبات الاتصال إلى أصل رسالة نبضات القلب التي تم تلقيها مؤخرًا" ، قال مارابيسي. "ببساطة من خلال معرفة معرف مستخدم لجهاز صالح ، يمكن للمهاجم إصدار رسائل نبضات مزورة ستحل محل أي إصدار صادر عن الجهاز الأصلي. عند الاتصال ، سيحاول معظم العملاء المصادقة على الفور كمستخدم إداري في نص عادي ، مما يسمح للمهاجم بالحصول على بيانات اعتماد الجهاز. "
عيوب iLnkP2P
حاول الخبير الإبلاغ عن العيوب للبائعين المتأثرين منذ يناير ، لكنه لم يتلق أي رد منهم. وأبلغ الخبير العيوب إلى مركز تنسيق CERT (CERT / CC) في جامعة كارنيجي ميلون ، كما تم إخطار CERT الصيني بالاكتشاف.
الأخبار السيئة هي أنه لا يوجد تصحيح لمعالجة كلتا القضيتين ويعتقد الخبراء أنه من غير المحتمل أن يتم إصداره قريبًا ،
"طبيعة هذه الثغرات تجعل من الصعب للغاية علاجها لعدة أسباب" ، كتب مارابيس. "من غير المرجح أن يكون العلاج القائم على البرامج بسبب عدم إمكانية تغيير معرفات UID للأجهزة ، والتي يتم تعيينها بشكل دائم أثناء عملية التصنيع. علاوة على ذلك ، حتى لو تم إصدار تصحيحات البرامج ، فإن احتمال قيام معظم المستخدمين بتحديث البرامج الثابتة الخاصة بأجهزتهم منخفض. من غير المرجح أن تتذكر عمليات استدعاء الأجهزة المادية بسبب التحديات اللوجستية الكبيرة. إن Shenzhen Yunni Technology هي شركة تعمل في مجال البيع بالتجزئة مع بائعين فرعيين لا يُقدر بثمن بسبب ممارسة وضع العلامات البيضاء وإعادة البيع. "
يوصي Marrapese بتجاهل المنتجات المستضعفة ، كما يقترح تقييد الوصول إلى منفذ UDP 32100 لمنع الاتصالات الخارجية عبر P2P.
نشر الباحث تفاصيل تقنية عن اكتشافه هنا.
اكتشف خبير الأمن Paul Marrapese ثغرة أمنية خطيرة في نظام iLnkP2P P2P الذي طورته شركة Shenzhen Yunni Technology Company، Inc. ، ويسمح نظام iLnkP2P للمستخدمين بالاتصال عن بُعد بأجهزة إنترنت الأشياء الخاصة بهم باستخدام هاتف محمول أو كمبيوتر شخصي.
تشمل أجهزة إنترنت الأشياء المتأثرة المحتملة الكاميرات وأجراس الأبواب الذكية.
تم اعتماد iLnkP2P على نطاق واسع من خلال الأجهزة التي يتم تسويقها من العديد من البائعين ، بما في ذلك Hichip و TENVIS و SV3C و VStarcam و Wanscam و NEO Coolcam و Sricam و Eye Sight و HVCAM.
حدد الخبير أكثر من 2 مليون جهاز معرض للخطر على الإنترنت ،
يوجد 39٪ منهم في الصين و 19٪ في أوروبا و 7٪ في الولايات المتحدة. يتم تصنيع حوالي 50٪ من الأجهزة المعرضة للخطر بواسطة شركة Hichip الصينية.
أول خلل في iLnkP2P يتم تتبعه على أنه CVE-2019-11219 هو ثغرة تعداد يمكن استغلالها بواسطة مهاجم لاكتشاف الأجهزة المكشوفة عبر الإنترنت. يمكن استغلال المشكلة الثانية التي تم تتبعها على أنها CVE-2019-11220 بواسطة مهاجم لاعتراض الاتصالات بالأجهزة الضعيفة والقيام بهجمات من رجل (وسط).
يمكن للمهاجم وضع سلسلة من المشكلات لسرقة سرقة كلمة المرور وربما تعريض الأجهزة عن بُعد للخطر ، فهو يحتاج فقط إلى معرفة عنوان IP لخادم P2P المستخدم بواسطة الجهاز.
قام Marrapese أيضًا ببناء هجوم إثبات للمفهوم لتوضيح كيفية سرقة كلمات المرور من الأجهزة عن طريق إساءة استخدام ميزة "نبضات القلب" المضمنة ، لكنه لن يطلقها لمنع إساءة الاستخدام.
"عند الاتصال بشبكة ، سترسل أجهزة iLnkP2P بانتظام نبضات أو رسالة" أنا هنا "إلى خوادم P2P التي تم تكوينها مسبقًا وتنتظر المزيد من التعليمات".
"سوف يقوم خادم P2P بتوجيه طلبات الاتصال إلى أصل رسالة نبضات القلب التي تم تلقيها مؤخرًا" ، قال مارابيسي. "ببساطة من خلال معرفة معرف مستخدم لجهاز صالح ، يمكن للمهاجم إصدار رسائل نبضات مزورة ستحل محل أي إصدار صادر عن الجهاز الأصلي. عند الاتصال ، سيحاول معظم العملاء المصادقة على الفور كمستخدم إداري في نص عادي ، مما يسمح للمهاجم بالحصول على بيانات اعتماد الجهاز. "
عيوب iLnkP2P
حاول الخبير الإبلاغ عن العيوب للبائعين المتأثرين منذ يناير ، لكنه لم يتلق أي رد منهم. وأبلغ الخبير العيوب إلى مركز تنسيق CERT (CERT / CC) في جامعة كارنيجي ميلون ، كما تم إخطار CERT الصيني بالاكتشاف.
الأخبار السيئة هي أنه لا يوجد تصحيح لمعالجة كلتا القضيتين ويعتقد الخبراء أنه من غير المحتمل أن يتم إصداره قريبًا ،
"طبيعة هذه الثغرات تجعل من الصعب للغاية علاجها لعدة أسباب" ، كتب مارابيس. "من غير المرجح أن يكون العلاج القائم على البرامج بسبب عدم إمكانية تغيير معرفات UID للأجهزة ، والتي يتم تعيينها بشكل دائم أثناء عملية التصنيع. علاوة على ذلك ، حتى لو تم إصدار تصحيحات البرامج ، فإن احتمال قيام معظم المستخدمين بتحديث البرامج الثابتة الخاصة بأجهزتهم منخفض. من غير المرجح أن تتذكر عمليات استدعاء الأجهزة المادية بسبب التحديات اللوجستية الكبيرة. إن Shenzhen Yunni Technology هي شركة تعمل في مجال البيع بالتجزئة مع بائعين فرعيين لا يُقدر بثمن بسبب ممارسة وضع العلامات البيضاء وإعادة البيع. "
يوصي Marrapese بتجاهل المنتجات المستضعفة ، كما يقترح تقييد الوصول إلى منفذ UDP 32100 لمنع الاتصالات الخارجية عبر P2P.
نشر الباحث تفاصيل تقنية عن اكتشافه هنا.
ليست هناك تعليقات:
إرسال تعليق