ИБ мэмы и не только
Image

ИБ мэмы и не только

Твои данные всё равно утекут. Так хоть посмейся перед этим. Лучшие мэмы и суровая правда про ИБ.

Ослепляющая атака: киберпреступники научились брать под контроль умные системы освещения от Ikea

IKEA Synopsys уязвимость Zigbee
Ослепляющая атака: киберпреступники научились брать под контроль умные системы освещения от Ikea
IKEA Synopsys уязвимость Zigbee

Одного неправильного фрейма Zigbee хватит, чтобы жертва полностью потеряла контроль над умными лампочками.

Исследователи из Synopsis продемонстрировали, как злоумышленник может получить контроль над лампочками в умной системе освещения ТРОДФРИ от Ikea. Для этого хакеру достаточно несколько раз отправить один и тот же неправильно сформированный фрейм Zigbee (IEEE 802.15.4), а затем воспользоваться двумя уязвимостями (отслеживаемыми под идентификаторами CVE-2022-39064 и CVE-2022-39065) в системе освещения. После этого умные лампочки начинают мигать и остаются включенными на полную мощность навсегда, так как киберпреступник просто сбрасывает систему освещения к заводским настройкам.

Кроме того, неправильно сформированный фрейм Zigbee является неаутентифицированным широковещательным сообщением, следовательно поражает все устройства в радиусе действия радиосвязи.

По словам специалистов Synopsis, чтобы смягчить последствия атаки, достаточно вручную отключить питание системы. Однако при этом ничего не помешает злоумышленнику провести атаку снова.

Стоит отметить, что о возможности такой атаки было известно еще в июне 2021 года, когда Synopsys сообщила об этом Ikea, которая выпустила исправления уязвимостей в феврале 2022 года.