Kwetsbaarheden in het OvrC-platform stellen IoT-apparaten bloot aan aanvallen op afstand en uitvoering van code

Een beveiligingsanalyse van het OvrC-cloudplatform heeft tien kwetsbaarheden blootgelegd die aan elkaar kunnen worden gekoppeld, zodat potentiële aanvallers op afstand code kunnen uitvoeren op verbonden apparaten.

“Aanvallers die deze kwetsbaarheden met succes misbruiken, kunnen apparaten die door OvrC worden ondersteund, openen, controleren en verstoren; sommige daarvan omvatten slimme elektrische voedingen, camera’s, routers, domoticasystemen en meer”, zei Claroty-onderzoeker Uri Katz in een technisch rapport.

OvrC van Snap One, uitgesproken als ‘oversee’, wordt geadverteerd als een ‘revolutionair ondersteuningsplatform’ waarmee huiseigenaren en bedrijven IoT-apparaten op het netwerk op afstand kunnen beheren, configureren en problemen oplossen. Volgens de website worden OvrC-oplossingen ingezet op meer dan 500.000 eindgebruikerslocaties.

Volgens een gecoördineerd advies van de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) zou succesvolle exploitatie van de geïdentificeerde kwetsbaarheden een aanvaller in staat kunnen stellen “apparaten na te bootsen en te claimen, willekeurige code uit te voeren en informatie over het getroffen apparaat vrij te geven.”

Er is vastgesteld dat de tekortkomingen gevolgen hebben voor OvrC Pro en OvrC Connect, waarbij het bedrijf voor acht daarvan in mei 2023 oplossingen uitbrengt en voor de overige twee op 12 november 2024.

“Veel van deze problemen die we tegenkwamen, komen voort uit het verwaarlozen van de device-to-cloud-interface”, zegt Katz. “In veel van deze gevallen is het kernprobleem de mogelijkheid om IoT-apparaten te crossclaimen vanwege zwakke identificatiegegevens of vergelijkbare bugs. Deze problemen variëren van zwakke toegangscontroles, omzeilingen van authenticatie, mislukte invoervalidatie, hardgecodeerde inloggegevens en fouten bij het uitvoeren van externe code. .”

Als gevolg hiervan kan een aanvaller op afstand deze kwetsbaarheden misbruiken om firewalls te omzeilen en ongeautoriseerde toegang te krijgen tot de cloudgebaseerde beheerinterface. Erger nog, de toegang zou vervolgens kunnen worden bewapend om apparaten te inventariseren en te profileren, apparaten te kapen, privileges te verhogen en zelfs willekeurige code uit te voeren.

Kwetsbaarheden in het OvrC-platform

De ernstigste gebreken worden hieronder opgesomd:

  • CVE-2023-28649 (CVSS v4-score: 9.2), waarmee een aanvaller zich kan voordoen als een hub en een apparaat kan kapen
  • CVE-2023-31241 (CVSS v4-score: 9.2), waarmee een aanvaller willekeurige, niet-geclaimde apparaten kan claimen door de vereiste voor een serienummer te omzeilen
  • CVE-2023-28386 (CVSS v4-score: 9.2), waarmee een aanvaller willekeurige firmware-updates kan uploaden, wat resulteert in het uitvoeren van code
  • CVE-2024-50381 (CVSS v4-score: 9.1), waarmee een aanvaller zich kan voordoen als een hub en apparaten willekeurig kan intrekken en vervolgens andere fouten kan misbruiken om deze te claimen

“Nu er elke dag meer apparaten online komen en cloudbeheer het dominante middel wordt voor het configureren van en toegang krijgen tot diensten, is de impuls meer dan ooit gericht op fabrikanten en cloudserviceproviders om deze apparaten en verbindingen te beveiligen”, aldus Katz. “De negatieve uitkomsten kunnen van invloed zijn op aangesloten stroomvoorzieningen, zakelijke routers, domoticasystemen en meer die verbonden zijn met de OvrC-cloud.”

De onthulling komt op het moment dat Nozomi Networks drie beveiligingsfouten heeft beschreven die van invloed zijn op EmbedThis GoAhead, een compacte webserver die wordt gebruikt in embedded en IoT-apparaten, die onder specifieke omstandigheden tot een denial-of-service (DoS) zouden kunnen leiden. De kwetsbaarheden (CVE-2024-3184, CVE-2024-3186 en CVE-2024-3187) zijn verholpen in GoAhead versie 6.0.1.

De afgelopen maanden zijn er ook meerdere beveiligingstekortkomingen ontdekt in de exacqVision Web Service van Johnson Controls, die kunnen worden gecombineerd om de controle over videostreams over te nemen van bewakingscamera’s die op de applicatie zijn aangesloten en om inloggegevens te stelen.

Thijs Van der Does