Zipato Smart Home Hubs zijn kwetsbaar voor hacks

Beveiligingsonderzoekers hebben drie 'kritieke' kwetsbaarheden ontdekt in modellen van de ZipaMicro Z-Wave Smart Home controller. Twee controllers zijn kwetsbaar; onder bepaalde omstandigheden kunnen hackers apparaten overnemen en bijvoorbeeld een slimme deurslot ontgrendelen.

Zo zijn de onderzoekers aan een privé SSH-sleutel gekomen (CVE-2019-9560), die op alle getroffen apparaten identiek zou zijn (ZM.ZWUS en 2AAU7-ZBZWUS). Deze kon met betrekkelijk weinig moeite worden uitgelezen. Eenmaal gelukt, dan heeft de hacker root-toegang. Met de sleutel kunnen aanvallers de andere twee kwetsbaarheden (CVE-2019 tot 9561, CVE-2019-9562) voor pash-the-hash-aanvallen gebruiken, om zo lokaal of op afstand aan toegangsdata te komen. De aanvallers zouden via de controllers op die manier toegang kunnen krijgen tot meer Smart Home-apparaten en deze gedeeltelijk beheren.

Tijdens het onderzoek hebben de onderzoekers echter slechts vijf apparaten ontdekt waarmee ze over het internet toegang konden krijgen, iets wat eigenlijk alleen mogelijk zou moeten zijn als externe toegang essentieel is. De onderzoekers zouden in februari 2019 contact op hebben genomen met Zipato. De kwetsbaarheden zijn sinds maart afgesloten en controllers wijzen nu specifieke SSH-sleutels toe. Gebruikers van bovengenoemde apparaten doen er goed aan hun apparaat naar de meest recente softwareversie te updaten.

Bron: Black Marble

0