Как взломать умный дом с помощью лампочки: ошибки Philips

Индийская CERT-In опубликовала два предупреждения о критических уязвимостях в популярных смарт-устройствах – продуктах Philips Smart Lighting и системе контроля доступа Matrix Door Controller. Ошибки могут привести к несанкционированному доступу к конфиденциальной информации, а также угрозе утечки данных.

Первая уязвимость CIVN-2024-0329( CVE-2024-9991 ) с оценкой CVSS: 7.0 касается ряда смарт-осветительных приборов компании Philips. Под угрозой оказались модели Smart Wi-Fi LED Batten 24 Вт, LED T Beamer 20 Вт, а также несколько моделей умных ламп и T-Bulb на 9, 10 и 12 Вт.

Проблема затрагивает устройства, функционирующие на прошивке версии ниже 1.33.1, в которых данные о Wi-Fi-сетях хранятся в виде открытого текста. Уязвимость позволяет злоумышленнику, получившему физический доступ к устройству, извлечь прошивку и проанализировать данные для получения доступа к сети Wi-Fi. При этом в зоне риска оказываются все подключенные к ней устройства, а также личные данные пользователей. Владельцам данных приборов рекомендуется обновить прошивку до версии 1.33.1 или выше, чтобы защитить устройства от возможного взлома.

Вторая уязвимость CIVN-2024-0328( CVE-2024-10381 ) с оценкой 9.3 выявлена в системе контроля доступа Matrix Door Controller Cosec Vega FAXQ. Проблема затрагивает все устройства с прошивкой до версии V2R17 и связана с уязвимостью в управлении сессиями в интерфейсе веб-управления устройством. Ошибка позволяет удалённому атакующему отправлять специальные HTTP-запросы, которые могут дать несанкционированный доступ к системе и полный контроль над устройством.

Эксплуатация уязвимости потенциально угрожает конфиденциальности, целостности и доступности данных системы. Хотя на данный момент публичных доказательств использования данной уязвимости в интернете не зафиксировано, пользователям настоятельно рекомендовано принять меры предосторожности.

Для защиты от указанных уязвимостей CERT-In советует выполнить ряд рекомендаций, которые помогут минимизировать риски и защитить систему от возможных атак. В их числе:

  1. Усиление механизмов аутентификации для веб-интерфейса управления.
  2. Ограничение доступа к устройствам Matrix Door Controller посредством эффективной сегментации сети.
  3. Регулярный мониторинг и ведение журнала доступа к устройствам с целью выявления несанкционированной активности.
  4. Установка всех обновлений и исправлений, предоставляемых производителем.
  5. Использование межсетевого экрана (WAF) для защиты от вредоносных HTTP-запросов.

Пользователям смарт-освещения Philips рекомендуется обновить устройства до версии прошивки 1.33.1, а владельцам Matrix Door Controller перейти на версию прошивки V2R17. Такие действия, а также соблюдение рекомендованных мер безопасности, помогут снизить риски, связанные с уязвимостями, и повысить общую киберустойчивость системы.

Public Release.