海外流行物联网云平台 OvrC 曝一系列重大漏洞,黑客可远程执行恶意代码
我要评论11 月 16 日消息,海外安全公司 Claroty 发布报告,流行列重曝光了一款海外流行的物联网物联网设备云端管理平台 Ovr 内含的一系列重大漏洞。安全公司声称黑客可以接连利用这些漏洞实现在物联网设备上远程执行恶意代码,平台曝系而根据 CVSS 风险评估,大漏洞黑代码部分曝光的远程漏洞风险评分高达 9.2(满分 10 分)。
据悉,执行OvrC 物联网平台的恶意主要功能是通过移动应用或基于 Web Socket 的界面为用户提供远程配置管理、运行状态监控等服务。海外自动化公司 SnapOne 在 2014 年收购了该平台,流行列重在 2020 年声称 OvrC 已拥有约 920 万台设备,物联网而如今该平台预计坐拥 1000 万台设备。平台曝系
参考安全报告获悉,相关漏洞主要包括输入验证不足、远程不当的执行访问控制、敏感信息以明文传输、数据完整性验证不足、开放式重定向、硬编码密码、绕过身份验证等,此类漏洞大多源于设备与云端接口的安全设计缺陷,黑客可利用漏洞绕过防火墙,避开网络地址转换(NAT)等安全机制,从而在平台设备上运行恶意代码。
参考 CVSS 风险评分,4 个被评为高危的漏洞分别是:输入验证不足漏洞 CVE-2023-28649、不当访问控制漏洞 CVE-2023-31241、数据完整性验证不足漏洞 CVE-2023-28386,以及关键功能缺乏认证漏洞 CVE-2024-50381,这些漏洞的评分在 9.1 至 9.2 之间。
关于漏洞的具体利用方式,研究人员指出,黑客可以先利用 CVE-2023-28412 漏洞获取所有受管设备的列表,再通过 CVE-2023-28649 和 CVE-2024-50381 漏洞强制设备进入“未声明所有权”(Unclaim)状态。随后黑客即可利用 CVE-2023-31241 漏洞将 MAC 地址与设备 ID 匹配,并通过设备 ID 重新声明设备所有权,最终实现远程执行代码。
值得注意的是,在研究人员报告后,大部分问题已于去年 5 月被修复,但仍有两个漏洞直到本月才得到解决,目前,该平台已完全修复相应漏洞。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,所有文章均包含本声明。
相关文章
棉纱最新报价2024年11月17日,山东宏洋化学有限公司棉纱纱支:32S;纱质:高配;等级:优等品;股数:1股;纺纱方法:环锭纺;颜色:本白;用途:针),国产,交易地点为山东省,报价为26400.002024-11-19
【#试用期工作总结# #产证试用期工作总结报告#】2、提高自己解决实际问题的能力,并在工作过程中慢慢克服急躁情绪,积极、热情、细致地的对待每一项工作。产证试用期工作总结报告 篇1我于两个月前加入了xx2024-11-19
vivo新机跑分曝光:16GB+骁龙7 Gen3,或领先同级别手机
如今的智能手机市场的竞争愈发激烈,一方面是各大品牌纷纷推出新品,力求在性能、设计和用户体验上脱颖而出。另一方面则是主打线下市场的机型也在进行发力,以前只在拍照和颜值方面发力,如今却逐渐补全性能短板。而2024-11-19
【#益智休闲# #怪物世界逃生鸿蒙版#】简介描述【hao86下载•鸿蒙版】怪物世界逃生鸿蒙版正版游戏,是一款专为鸿蒙系统用户打造的极致恐怖冒险力作。玩家将踏入一个被怪物笼罩的阴暗世界,体验心跳加速、神2024-11-19
别克英朗 GT 的保值率属于中等水平。前五年平均保值率分别为:64.7%,59.2%,54%,49.2%,43.8%,在紧凑型车之中排第 22 名。使用 6 年的车型,保值率大约在新车的 5 折左右。2024-11-19
【#游戏攻略# #《三国志战略版》袁术阵容搭配以及战法推荐#】三国志战略版袁术阵容战法怎么搭配,袁术在游戏中有一个特殊的技能,在上场后是可以获得兵刃谋略伤害的加成,为了让玩家能更好的使用这个英雄的伤害2024-11-19
最新评论