Уязвимость в роботах-пылесосах Shark: один украденный сертификат открывает root-доступ к другим устройствам в том же AWS-регионе

Shark уязвимость Aws Iot робот-пылесос безопасность Rce tomshardware.com

Уязвимость в политике AWS IoT позволяет извлечь сертификат с пылесоса Shark и удаленно выполнять команды на миллионах устройств. Получите доступ к камерам, картам и паролям Wi-Fi. Исправление до сих пор не выпущено.

Исследователь в области безопасности опубликовал метод извлечения клиентского сертификата с робота-пылесоса Shark и использования его для выполнения root-команд на других пылесосах Shark в том же регионе Amazon Web Services, что открывает доступ к прямым видеотрансляциям с камер, сохраненным картам помещений и паролям Wi-Fi, хранящимся в открытом виде. Исследователь, публикующийся под псевдонимом tokay0, опубликовал технику в понедельник и сообщает, что впервые сообщил о ней SharkNinja 1 марта. На момент написания статьи уязвимость все еще не исправлена, и для ее устранения требуется исправление исключительно на стороне облака SharkNinja, а не самого робота.
Проблема заключается в излишне разрешительной политике AWS IoT. Сертификат, который пылесос Shark использует для аутентификации в облачном брокере Amazon, никогда не был привязан к конкретному устройству, поэтому сертификат, извлеченный из одного устройства, может подписываться на общепарковый трафик и отправлять команды, адресованные любому устройству, обслуживаемому брокером. Эти команды передаются в обычном поле Exec_Command внутри документа состояния каждого устройства, которое AWS хранит в облаке, а управляющий демон на пылесосе передает все, что меньше 1000 байт, из этого поля в оболочку.
Исследователь тестировал технику только на устройствах, которые купил сам, включая межмодельный реверс-шелл на Shark IQ Robot Vacuum XL (AV1102ARUS), с помощью которого он затем получил прямую видеотрансляцию с бортовой камеры этого робота. Наблюдая за одним регионом AWS в течение 24 часов, он насчитал 1 517 605 уникальных серийных номеров Shark, из которых 673 816 (44%) ответили на командный зонд. Это устройства, которые были замечены отвечающими, а не те, которые он тестировал или взламывал. Сертификаты привязаны к региону AWS, поэтому ключ, извлеченный в одном регионе, работает только с устройствами в этом регионе.
tokay0 сообщает, что SharkNinja подтвердила получение его отчета 12 марта, 27 апреля сообщила, что он находится на рассмотрении, а 3 июля пообещала завершить исправление к 10 июля, но этого так и не произошло. Он также утверждает, что компания преуменьшила серьезность проблемы и усомнилась в необходимости присвоения CVE, несмотря на опубликованную политику раскрытия информации, которая обязывает SharkNinja «регулярно предоставлять обновления до тех пор, пока сообщенная уязвимость не будет устранена». По состоянию на 16 июля компания не опубликовала никакой информации об уязвимости.
Устранение проблемы в данном сценарии не требует обновления прошивки. Согласно Amazon, несоответствующая требованиям политика IoT исправляется путем развертывания ограниченной версии в учетной записи AWS самого оператора до тех пор, пока SharkNinja не изменит политику или не перевыпустит сертификаты.
Временные рамки SharkNinja весьма схожи с уязвимостью, которую мы видели у пылесосов DJI Romo в феврале, когда ошибка авторизации открыла доступ примерно к 6 700 пылесосам, предоставив видеотрансляции с камер, аудио и планы помещений; DJI исправила уязвимость в течение нескольких недель, а исследователь, обнаруживший ее, позже получил вознаграждение в размере $30 000. Сбои на стороне облака, когда бэкенд не ограничивает доступ устройств, привели к серии взломов роботов-пылесосов и подогрели интерес к полностью офлайн-конструкциям, которые хранят карты и данные с камер вдали от облака любого вендора.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

В тренде:

Похожие новости: