Top 5 razões para implantar VMware com Tegile
Termostatos digitais de Heatmiser estão abertas para aquisição graças ao padrão credenciais de login e uma infinidade de outras falhas de segurança.
O fabricante sediada no Reino Unido se comprometeu a desenvolver uma correção. Enquanto se aguarda a chegada de um patch, os usuários são aconselhados a desativar o recurso Wi-Fi do dispositivo.
As falhas de segurança foram descobertos por Andrew Tierney, a engenharia reversa, que é especializada na localização de falhas em kit de computação embarcada. Tierney começou o teste para falhas no termostato Wi-Fi habilitados do Heatmiser depois de ler sobre problemas em outro (antigos e descontinuados) produto Heatmiser, NetMonitor.
Tierney descobriu que quando os usuários conectam o termostato através de um utilitário do Windows que utiliza nomes de usuários e PINs padrão ("admin" com um PIN de acesso de "1234"). Quando conectado a um dos dispositivos, o termostato revela credenciais de login Wi-Fi (password e nome de usuário) e Service Set Identifier (SSID). E a página de administração é facilmente acessível através da rede, independentemente de haver ou não o acessor adivinhou o nome de usuário e senha. Para coroar tudo, o dispositivo é vulnerável a cross-site request forgery (CSRF) ataques, o que significa que "que se eu entrar para o meu termostato no trabalho, qualquer outra pessoa no meu local de trabalho podem acessar o meu termostato simplesmente por visitar a página sem a necessidade de credenciais," Tierney explica.
O pesquisador de segurança descobriu que mais de 7.000 termostatos ligados à Internet potencialmente vulneráveis usando o motor de busca Shodan.
"Se você quer um termostato que não pode ser ativado por qualquer pessoa, então eu sugiro que devolver o termostato Heatmiser Wi-Fi", conclui Tierney. "Minha recomendação seria parar port-forwarding para tanto a porta 80 e 8068. Você vai perder o controle remoto, mas ainda seria capaz de acessar o termostato de dentro de você casa."
Em resposta, Heatmiser contactou seus clientes, reconhecer alguns dos problemas e promissor para melhorar a segurança dos dispositivos.
Um problema de segurança foi identificado em nosso termostato Wi-Fi ... Foi identificado que, se certas etapas são realizadas, o nome de usuário e senha para o seu sistema pode ser obtido, portanto, permitindo o acesso remoto do seu sistema.Estamos trabalhando o mais rápido possível para resolver este problema mas, entretanto, gostaria de pedir que você remover o redirecionamento de portas para o seu WiFi termostato em seu roteador. Isto significa que o acesso navegador remoto não vai funcionar, mas você vai ser capaz de usar a App SmartPhone.
"Um problema de segurança foi identificado em nosso WiFi termostato. Estamos contatando os clientes para informá-los e estamos trabalhando para corrigir o mais rápido possível", HeatmiserUK explicado em uma atualização para sua conta oficial no Twitter.
Francês pesquisador de segurança Jean-Louis Perstat respondeu a esta afirmando que ele havia notificado Heatmiser sobre problemas de segurança no seu kit meses atrás, aparentemente sem sucesso.
Imagens de configuração atualmente insegura do Heatmiser e outros comentários podem ser encontrados em um post no blog de segurança Graham Cluley veterano aqui . ®
Nenhum comentário:
Postar um comentário