Argitalpen data: 2018/08/09
Garrantzia: Handia
Kaltetutako baliabideak:
- Zipato Zipabox (smart home controller)
Azalpena:
Kaspersky Lab ICS CERTen Critical Infrastructure Defense
Teameko Andrey Muravitskyk hainbat ahultasunen berri eman dio Zipatori. Urruneko erasotzaile batek informazio sentikorra lor
lezake eta horrekin erasoaren azalera zabaldu, ahultasun bat baliatu edo,
autentifikatu gabe, testu gardeneko pasahitzak eskuratu. Are gehiago,
kaltetutako gailuek kudeatzen duten etxe inteligente osoaren kontrola hartzera
irits liteke.
Konponbidea:
Oraingoz ez dago inolako konponbiderik eskuragarri.
Xehetasuna:
- Informazioa sentikorraren zabalkundea: autentifikatu gabeko erasotzaile batek
eskuragarri dauden Zipabox gailuei buruzko informazio sentikorra eta bere
informazio teknikoa lor lezake. Ahultasun
horretarako CVE-2018-15125 identifikatzailea erabili da.
- Hash ahuleko algoritmoa: autentifikaziorik gabeko erasotzaile batek
ahultasun hau balia lezake testu gardeneko pasahitzak lortzeko. Ahultasun horretarako CVE-2018-15124
identifikatzailea erabili da.
- Konfigurazioaren biltegiratze ez
segurua: autentifikaziorik gabeko erasotzaile
batek ahultasun hau balia lezake etxe inteligente osoaren kontrola
hartzeko. Ahultasun horretarako CVE-2018-15123
identifikatzailea erabili da.
Etiketak: Pribatutasuna, Ahultasuna