博世恒温器由于安全漏洞CVE-2023-49722允许远程攻击者操纵设置并在设备上安装恶意软件

Andrew2024-01-13 16:33:21
Bitdefender实验室发现流行的博世恒温器型号BCC100容易受到网络安全威胁CVE-2023-49722。此漏洞可能允许远程攻击者操纵设置并在设备上安装恶意软件。


Bitdefender实验室发现流行的博世恒温器型号BCC100容易受到网络安全威胁。此漏洞可能允许远程攻击者操纵设置并在设备上安装恶意软件。


研究人员发现博世BCC100恒温器存在漏洞,可能会损害用户的隐私和舒适度。Bitdefender实验室发现的这些漏洞允许攻击者访问恒温器设置和数据、远程操纵设置以及安装恶意软件。


关于物联网设备易受攻击状态的最新披露应该不足为奇。从电子滑板到咖啡机,从跑步机到房间里的安全摄像头,所有连接到互联网的东西都容易受到潜在威胁。


至于最新进展,第一个智能家居网络安全中心的创建者Bitdefender Labs定期审核流行的物联网硬件是否存在漏洞。其最新研究揭示了博世BCC100恒温器中的漏洞,影响版本1.7.0 – HD版本4.13.22。


Bitdefender研究人员于2023年8月29日发现了该漏洞,但其详细信息直到2024年1月11日才发布。该漏洞允许攻击者用流氓版本替换设备固件(CVE-2023-49722)。该漏洞于2023年10月得到确认并进行分类,博世立即开始修复。Bitdefender于2024年1月11日负责任地披露了该漏洞。


要了解该缺陷,必须了解BCC100恒温器的工作原理。该恒温器使用两个微控制器:用于Wi-Fi功能的海飞芯片(HF-LPT230)和用于实现主逻辑的意法半导体芯片(STM32F103)。


STM芯片缺乏联网功能,依赖Wi-Fi芯片进行通信。Wi-Fi芯片侦听LAN上的TCP端口8899,并通过UART数据总线将直接接收到的任何消息镜像到主微控制器。


然而,如果格式正确,微控制器无法区分云服务器发送的恶意消息和真实消息。攻击者可以利用此漏洞向恒温器发送命令,包括恶意更新。


恒温器通过WebSocket上的JSON编码有效负载与connect.boschconnectedcontrol.com服务器进行通信,该有效负载是公开的且易于模仿。设备在端口8899上启动“device/update”命令,触发恒温器向云服务器请求详细信息。


尽管出现错误代码,设备仍接受伪造的响应,其中包含固件更新详细信息,包括URL、大小、MD5校验和和版本。然后,设备请求云服务器下载固件并通过WebSocket发送,确保URL可访问。一旦设备收到文件,它就会执行升级,最终完成妥协。


根据Bitdefender Labs的博客文章,建议用户遵循必要的安全实践。这包括更新恒温器固件、更改默认管理密码、避免不必要地将恒温器连接到互联网,以及使用防火墙限制未经授权的设备的访问。


Bitdefender Labs强调了选择安全的智能家居设备并确保其及时更新最新安全补丁的重要性。具体详情请参阅博世2023年1月9日发布的安全公告。


然而,这项研究强调,即使看似无害的智能设备也可能带来安全风险。随着智能家居市场的不断增长,制造商必须优先考虑安全性,确保安全可靠的互联环境。

网络安全恒温器
本作品采用《CC 协议》,转载必须注明作者和本文链接
Bitdefender实验室发现流行的博世恒温器型号BCC100容易受到网络安全威胁CVE-2023-49722。此漏洞可能允许远程攻击者操纵设置并在设备上安装恶意软件。
2014年,一款智能冰箱在遭受僵尸网络攻击后,被当场抓到发送了超过75万封垃圾邮件。这是全世界首次记录在案的黑客攻击物联网事件。在美国,最近的一个案例涉及一个水族馆的联网恒温器,黑客成功控制了恒温器,访问赌场中豪赌者信息的数据库。 在大洋彼岸和中东地区,一个名为“Triton”的恶意软件渗透了一家装有安全关闭系统的工厂,该软件利用了一个以前从未被发现的漏洞,迫使工厂陷入停产。 在另一个案例中,
但是由于安全标准滞后,以及智能设备制造商缺乏安全意识和投入,物联网已经埋下极大隐患,是个人隐私、企业信息安全甚至国家关键基础设施的头号安全威胁。测试者必须考虑所有攻击阶段,并根据实际表现进行评分。出口攻击是由受安全产品保护的局域网边界内的设备发起的攻击。测试人员应牢记测试的范围,适当地选择样品,同时考虑到被测产品的保护范围。执行预防旨在防止攻击者获得初始访问权限后的攻击阶段的一组措施。
英国政府今天向议会提出了新的立法,旨在更好地保护消费者的物联网设备免受黑客攻击。
趋势1:对个人数据的无限制挖掘威胁数字社会的稳定 免费获取个人数据的时代即将结束,但取而代之的是什么尚未可知。 (一)数据过多,透明度过低 2017年,法国记者茱蒂丝·杜普托尔向一款约会应用软件索要她在该应用...
在最近的Syxsense Synergy活动中,网络安全专家深入研究了端点安全管理所面临的不断变化的挑战。根据企业战略集团进行的一项调查发现,目前平均每个用户拥有大约七台设备用于个人和办公。此外,ESG的调查显示,企业内采用的安全和终端管理工具的数量与所经历的违规事件的频率之间存在明显的联系。此外,这些端点还延伸到了物联网设备,如摄像头、照明系统、冰箱、安全系统、智能扬声器和恒温器
2020年6月,史前最严重的规模最大的一次有关台湾省2000万个人数据泄漏的报道震惊了网络安全界,数据泄露成为2020最为热议的话题。而就在两月后,8月,美国国家安全局(National Security Agency )发布了一份《限制位置数据暴露》指南(以下简称指南),以指导国家安全系统(NSS)和美国国防部(DoD)及其他国家安全部门的工作人员,如何在使用移动物联网设备、社交媒体或移动应用程
本文将深入探讨智能家居设备损害隐私的各种方式,并提供相应的保护措施。智能家居设备还可以提高安全性,可远程监控家庭,并在发生任何异常情况时收到警报。在使用智能家居设备时,可以采取多种措施来保护隐私。保持家庭网络安全可以在很大程度上保护智能家居设备。保持路由器固件更新,并考虑将智能家居设备隔离到单独的网络中,以限制数据泄露的潜在影响。
以一种全新的方式使用人工智能,该技术已被发现能有效防止计算机上高达92%的数据被破坏,平均只需0.3秒就能消灭一个恶意软件。 该团队于12月6日在《安全与通信网络》上发表了他们的研究结果,并表示这是首次展示一种既能实时检测又能杀死恶意软件的方法,这可以改变现代网络安全的方法,并避免像最近2017年对NHS的WannaCry网络攻击那样的事件。
数以百万计的员工现在通过家中 Wi-Fi 访问公司网络或云端资源。IT工作人员正在通过远程访问对关键业务系统进行故障排除。供应链在压力下正在受到破坏。不法分子正在抓紧时间利用这些潜在的漏洞。
Andrew
暂无描述