Межсетевые экраны CUJO подвергают риску домашние сети

image

Теги: CUJO Smart Firewall, межсетевой экран, уязвимость, Интернет вещей, IoT

Эксперты выявили 11 уязвимостей в CUJO Smart Firewall v 7003.

Специалисты команды Cisco Talos обнаружили в домашних межсетевых экранах CUJO Smart Firewall более десятка уязвимостей, предоставляющих возможность перехвата контроля над устройством, что, в свою очередь, позволит злоумышленникам мониторить сетевой трафик и получить доступ к важным данным.

Существует два способа, с помощью которых злоумышленники могут скомпрометировать устройства, - путем выполнения произвольного кода в контексте пользователя с правами суперпользователя либо путем загрузки неподписанных версий ядра. Сочетая несколько уязвимостей, например, CVE-2018-4012, CVE-2018-4031 и CVE-2018-3968, злоумышленник может выполнить произвольный код без всякой авторизации.

Первая уязвимость содержится в Webroot BrightCloud SDK и связана с использованием небезопасного протокола HTTP для связи с сервисом BrightCloud. В итоге атакующий может осуществить атаку «человек посередине» и под видом сервиса BrightCloud выполнить код на устройстве с правами суперпользователя. Вторая уязвимость затрагивает движок Lunatik Lua, используемый для анализа сетевого трафика. Воспользовавшись багом, любой неавторизованный пользователь может выполнить Lua-скрипт в ядре. Третья уязвимость связана с реализованным в CUJO свободным загрузчиком Das U-Boot. Баг в версиях Das U-Boot с 2013.07-rc1 до 2014.07-rc2 позволяет инициировать загрузку устаревших, неподписанных образов.

В общей сложности эксперты выявили 11 уязвимостей в CUJO Smart Firewall v 7003, в том числе ошибки, позволяющие вызвать сбой в работе устройства, уязвимости, связанные с парсингом записей и пр. Компания CUJO AI уже выпустила обновление, устраняющее вышеуказанные баги. Пользователям рекомендуется обновиться как можно скорее.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.