Cybersecurity-onderzoekers hebben verschillende beveiligingsfouten ontdekt in het door Ruijie Networks ontwikkelde cloudbeheerplatform, waardoor een aanvaller de controle over de netwerkapparatuur kan overnemen.
“Deze kwetsbaarheden treffen zowel het Reyee-platform als de Reyee OS-netwerkapparaten”, aldus Claroty-onderzoekers Noam Moshe en Tomer Goldschmidt in een recente analyse. “Als de kwetsbaarheden worden misbruikt, kan een kwaadwillende aanvaller code uitvoeren op elk apparaat met cloudtoegang, waardoor hij tienduizenden apparaten kan controleren.”
Het operationele technologie (OT) beveiligingsbedrijf, dat diepgaand onderzoek deed naar de Internet of Things (IoT)-leverancier, zei dat het niet alleen tien fouten heeft geïdentificeerd, maar ook een aanval heeft bedacht met de naam “Open Sesame” die kan worden gebruikt om te hacken een toegangspunt in de fysieke nabijheid van de cloud en ongeautoriseerde toegang krijgen tot het netwerk.
Van de tien kwetsbaarheden worden er drie als kritiek beoordeeld qua ernst:
- CVE-2024-47547 (CVSS-score van 9,4) – Gebruik van een zwak wachtwoordherstelmechanisme dat het authenticatiemechanisme kwetsbaar maakt voor brute force-aanvallen
- CVE-2024-48874 (CVSS-score van 9,8) – Een kwetsbaarheid voor server-side request forgery (SSRF) die kan worden uitgebuit om toegang te krijgen tot interne services die worden gebruikt door Ruijie en hun interne cloudinfrastructuur via AWS-cloudmetadataservices
- CVE-2024-52324 (CVSS-score: 9,8) – Gebruik van een inherent gevaarlijke functie waarmee een aanvaller een kwaadaardig MQTT-bericht kan verzenden, wat ertoe kan leiden dat apparaten willekeurige besturingssysteemopdrachten uitvoeren
Uit Claroty’s onderzoek is ook gebleken dat het gemakkelijk is om de MQTT-authenticatie te verbreken door simpelweg het serienummer van het apparaat te kennen (CVE-2024-45722, CVSS-score: 7,5), en vervolgens de toegang tot Ruijie’s MQTT-makelaar te exploiteren om een volledige lijst te ontvangen van alle cloud- serienummers van aangesloten apparaten.
“Met behulp van de gelekte serienummers kunnen we geldige authenticatiegegevens genereren voor alle met de cloud verbonden apparaten”, aldus de onderzoekers. “Dit betekende dat we een breed scala aan denial-of-service-aanvallen konden uitvoeren, waaronder het loskoppelen van apparaten door namens hen te authenticeren, en zelfs het verzenden van verzonnen berichten en gebeurtenissen naar de cloud; het verzenden van valse gegevens naar gebruikers van deze apparaten.”
De kennis van het serienummer van het apparaat zou verder kunnen worden ingezet om toegang te krijgen tot alle MQTT-berichtenwachtrijen en kwaadaardige opdrachten uit te geven die vervolgens zouden worden uitgevoerd op alle met de cloud verbonden apparaten (CVE-2024-52324).
Dat is niet alles. Een aanvaller die fysiek grenst aan een Wi-Fi-netwerk dat gebruikmaakt van Ruijie-toegangspunten, kan ook het serienummer van het apparaat achterhalen door de onbewerkte Wi-Fi-bakens te onderscheppen, en vervolgens de andere kwetsbaarheden in MQTT-communicatie benutten om code-uitvoering op afstand te bewerkstelligen. De Open Sesame-aanval heeft de CVE-identifier CVE-2024-47146 gekregen (CVSS-score: 7,5).
Na de verantwoorde openbaarmaking zijn alle geïdentificeerde tekortkomingen door het Chinese bedrijf in de cloud verholpen en is er geen actie van de gebruiker vereist. Naar schatting zijn ongeveer 50.000 met de cloud verbonden apparaten mogelijk getroffen door deze bugs.
“Dit is opnieuw een voorbeeld van zwakke punten in zogenaamde internet-of-things-apparaten, zoals draadloze toegangspunten, routers en andere verbonden dingen die een vrij lage toegangsdrempel hebben om toegang te krijgen tot het apparaat, maar toch veel diepere netwerkaanvallen mogelijk maken,” zeiden de onderzoekers.
De onthulling komt op het moment dat beveiligingsorganisatie PCAutomotive 12 kwetsbaarheden signaleerde in de MIB3-infotainmenteenheid die in bepaalde Skoda-auto’s wordt gebruikt en die kwaadwillende actoren aan elkaar konden koppelen om code-uitvoering te bewerkstelligen, de locatie van de auto’s in realtime te volgen, gesprekken op te nemen via de microfoon in de auto, maak screenshots van het infotainmentscherm en exfiltreer zelfs contactgegevens.
De gebreken (van CVE-2023-28902 tot en met CVE-2023-29113) stellen aanvallers in staat om “code-uitvoering op de MIB3-infotainment-eenheid te verkrijgen via Bluetooth, rechten naar root te verhogen, veilig opstarten te omzeilen om persistente code-uitvoering te verkrijgen en de infotainment-eenheid te besturen via DNS-kanaal elke keer dat de auto start”, aldus PCAutomotive-onderzoekers.
De ontdekking draagt bij aan negen andere tekortkomingen (van CVE-2023-28895 tot en met CVE-2023-28901) die eind 2022 in de MIB3-infotainmenteenheid werden geïdentificeerd en die aanvallers in staat zouden kunnen stellen een denial-of-service te activeren, UDS-authenticatie te omzeilen en voertuiggegevens te bemachtigen. gegevens – namelijk kilometerstand, recente reisduur en gemiddelde en max. maximale snelheid van de reis – door alleen het VIN-nummer van een voertuig te kennen.