Хакерская угроза добралась до лампочки

Проблема безопасности устройств интернета вещей стоит чрезвычайно остро. Ранее неоднократно сообщалось об уязвимостях в таких устройствах, как «умные» телевизоры, роутеры, камеры наблюдения и т.д. Теперь же под угрозой оказались даже «умные» лампочки». Конкретно – лампочки Philips Hue. Исследователи компании Check Point обнаружили в них уязвимость, получившую идентификатор CVE-2020-6007, степень ее опасности оценена в 7,9 балла по десятибалльной шкале. Она связана с использованием протокола беспроводной связи ZigBee, который широко применяется в устройствах интернета вещей.

Используя этот протокол, специалисты Check Point смогли дистанционно загрузить на лампочку Philips Hue вредоносную версию прошивки. В результате лампочка оказалась недоступна для пользовательских приложений управления. В такой ситуации пользователь по определению должен перезагрузить устройство, отключив его от сети и добавив снова. После этого исследователи смогли провести атаку с переполнением буфера на компонент Hue Bridge, который имеет подключение к локальной сети. В результате у них появилась возможность инфицировать вредоносным ПО любые подключенные к этой сети устройства, включая и компьютеры.

Компания Philips уже выпустила обновленную версию прошивки 1935144040 для Philips Hue, в которой уязвимость исправлена. Тем не менее, компания Check Point пока не раскрыла технические детали атаки, предоставляя всем пользователям «умных» лампочек от Philips достаточное время, чтобы обновить ПО.

Источник: Bleeping Computer