宜家智能照明系统发现漏洞,可能导致灯泡闪烁恢复出厂设置
2022-10-10 12:13:50 Author: www.freebuf.com(查看原文) 阅读量:16 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

据The Record报道,研究人员在宜家的智能照明系统中发现了两个漏洞,允许攻击者控制该系统并使灯泡快速闪烁,还可能导致恢复出厂设置。

两个漏洞影响了宜家的E1526型Trådfri网关1.17.44及之前版本。该产品的价格约为80美元,通常用于照亮书架和梳妆台。

Synopsys网络安全研究中心的Kari Hulkko和Tuomo Untinen表示,他们在2021年6月就将这两个漏洞(CVE-2022-39064和CVE-2022-39065)告知宜家。CVE-2022-39064的CVSS评分为7.1,其核心是Zigbee协议,一种用于无线电、医疗设备和家庭自动化工具等低功率、低数据率设备的无线网络类型。

该漏洞允许攻击者通过该协议发送一个恶意帧,使宜家的TRÅDFRI灯泡闪烁。如果攻击者多次重发该恶意信息,灯泡就会执行出厂重置。

2021年10月底,宜家回应称,正在制作一个漏洞修复程序。该公司在2022年2月16日公布了CVE-2022-39065的修复方案,并在6月公布了CVE-2022-39064的部分补救措施。

宜家的一位发言人向媒体表示,自披露以来,该公司已与Synopsys合作,以改善其智能设备的安全和功能。该发言人表示,由于Zigbee协议的设计,所发现的问题并没有危及客户安全,攻击者不能获得TRÅDFRI网关或智能设备内的敏感信息。

Hulkko和Untinen说,虽然CVE-2022-39065已经在所有1.19.26或更高版本的软件中得到解决,但CVE-2022-39064还没有得到完全处理。“V-2.3.091版本修复了一些畸形帧的问题,但不是所有已知的畸形帧,”他们说,并分享了该漏洞的一个视频。宜家没有回应关于何时发布完整补丁的评论请求。

物联网安全公司Viakoo首席执行官Bud Broomhead解释说,像这样的漏洞的危险性在于它可以导致出厂重置。对于许多Zigbee和相关的物联网设备,这可能会导致物联网设备连接到威胁行为者控制的Zigbee网络。

他指出:“很庆幸这只是灯泡,而不是门锁、摄像机或工业控制系统,所有这些都可以通过Zigbee连接,被攻破和利用后会产生更多的破坏性后果。”

参考链接:

Researchers find bugs in IKEA smart lighting system - The Record by Recorded Future


文章来源: https://www.freebuf.com/articles/network/346423.html
如有侵权请联系:admin#unsafe.sh