Проблема безопасности устройств интернета вещей стоит чрезвычайно остро. Ранее неоднократно сообщалось об уязвимостях в таких устройствах, как «умные» телевизоры, роутеры, камеры наблюдения и т.д. Теперь же под угрозой оказались даже «умные» лампочки». Конкретно – лампочки Philips Hue. Исследователи компании Check Point обнаружили в них уязвимость, получившую идентификатор CVE-2020-6007, степень ее опасности оценена в 7,9 балла по десятибалльной шкале. Она связана с использованием протокола беспроводной связи ZigBee, который широко применяется в устройствах интернета вещей.
Используя этот протокол, специалисты Check Point смогли дистанционно загрузить на лампочку Philips Hue вредоносную версию прошивки. В результате лампочка оказалась недоступна для пользовательских приложений управления. В такой ситуации пользователь по определению должен перезагрузить устройство, отключив его от сети и добавив снова. После этого исследователи смогли провести атаку с переполнением буфера на компонент Hue Bridge, который имеет подключение к локальной сети. В результате у них появилась возможность инфицировать вредоносным ПО любые подключенные к этой сети устройства, включая и компьютеры.
Компания Philips уже выпустила обновленную версию прошивки 1935144040 для Philips Hue, в которой уязвимость исправлена. Тем не менее, компания Check Point пока не раскрыла технические детали атаки, предоставляя всем пользователям «умных» лампочек от Philips достаточное время, чтобы обновить ПО.
Источник: Bleeping Computer
г. Москва, улица 8 марта, дом 1, строение 12 (БЦ Трио, первая башня)
+7 495 730-2969 info@tcinet.ru
+7 495 730-2970