Abode 家庭安全包存在多个严重漏洞,可导致黑客劫持和禁用摄像头

发布于 作者:

Abode 家庭安全包存在多个严重漏洞,可导致黑客劫持和禁用摄像头

Ionut Arghire 代码卫士 2022-10-25 20:06

聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Abode Systems 修复了家庭安全包中的多个严重漏洞,其中一些漏洞可导致攻击者以根权限执行命令。

Abode Systems 是一家美国公司,出售智能DIY家庭安全系统和摄像头,其中包括可检测入侵或可疑行动的运动传感器。用户可通过应用或遥控器来安装或解除该系统。

用户可通过网站或手机上的应用来控制该系统,并将其与Amaza Alexa、Apple Homekit和Google Home集成。

思科Talos 团队的安全研究人员发现,该多功能安全包受多个漏洞影响,可导致攻击者更改用户密码、更改设备配置、注入任意代码、甚至完全关闭系统。攻击者可远程控制或禁用目标摄像头。

思科解释称,“这些设备中的多种软件功能中包含多个格式字符串注入漏洞,可导致内存损坏、信息泄露和拒绝服务后果。攻击者可发送恶意XML payload,触发这些漏洞。”

该家庭安全包中共有14个严重的操作系统命令注入漏洞(CVSS评分10分)。思科安全研究人员警告称,这些漏洞可导致攻击者以跟权限执行任意系统命令。

Abode Systems 包中还存在其它3个严重漏洞,分别是格式化字符串注入、认证绕过和整数溢出漏洞。9个漏洞是高危的格式化字符串注入漏洞,可通过特殊构造的HTTP请求、XCMD或配置值利用。其它高危漏洞还包括一个认证绕过漏洞、两个命令注入漏洞和一个双重释放漏洞。

思科已在7月份将这些漏洞告知Abode Systems公司并发布软件更新,修复所有漏洞。建议用户尽快更新至lota 6.9X或6.9Z版本。

代码卫士试用地址:
https://codesafe.qianxin.com

开源卫士试用地址:
https://oss.qianxin.com

推荐阅读

家庭路由器哪家强:固件漏洞多年不修复,更新无济于事

遭暴露的神秘数据库把过半美国家庭的隐私翻了个底朝天

Guardzilla 家庭摄像头录像可遭任何人访问

三星物联网中心竟然存在20个缺陷 多款著名智能家庭设备易遭攻击

罗技电子修复 Harmony Hub 家庭控制系统中的多个缺陷

原文链接

https://www.securityweek.com/critical-flaws-abode-home-security-kit-allow-hackers-hijack-disable-cameras

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “
在看
” 或 “

” 吧~