Wemo не исправит уязвимость Smart Plug, позволяющую удаленно работать

Кевин Парди — 16 мая 2023 г., 20:35 UTC

Когда-то я был совладельцем коворкинга. В помещении были двери с магнитными замками, которые открывались с помощью реле с питанием. Мы с партнерами поняли, что если мы сможем включать и выключать питание системы, мы сможем удаленно управлять дверным замком. У одного из нас был плагин Wemo первого поколения, поэтому мы подключили его, а затем программист среди нас создал сценарий, который, передавая команды Python по локальной сети, переключал дверной замок на открытие и закрытие.

Иногда мне приходило в голову, что это довольно странно, что без аутентификации вы можете просто кричать команды Python на Wemo, и он переключается. Сегодня у меня такое же чувство в отношении устройства, которое на одно поколение новее, но при этом имеет фатальные недостатки.

Исследовательская фирма по безопасности Интернета вещей Sternum обнаружила (и раскрыла) уязвимость переполнения буфера в Wemo Mini Smart Plug V2. Сообщение в блоге компании полно интересных подробностей о том, как это устройство работает (и не работает), но ключевой вывод заключается в том, что вы можете предсказуемо вызвать переполнение буфера, передав устройству имя, длиннее, чем его 30-символьный предел — предел. обеспечивается исключительно собственными приложениями Wemo и сторонними инструментами. Внутри этого переполнения вы можете внедрить работоспособный код. Если ваш Wemo подключен к более широкому Интернету, он может быть скомпрометирован удаленно.

Другой важный вывод заключается в том, что производитель Wemo компания Belkin сообщила Sternum, что не будет исправлять этот недостаток, поскольку срок службы Mini Smart Plug V2 «подошел к концу, и, как следствие, уязвимость не будет устранена». Мы связались с Belkin, чтобы узнать, есть ли у него комментарии или обновления. Sternum заявляет, что уведомила Belkin 9 января, получила ответ 22 февраля и раскрыла уязвимость 14 марта.

Sternum предлагает избегать доступа любого из этих устройств к более широкому Интернету, по возможности сегментируя его в подсеть вдали от чувствительных устройств. Однако уязвимость может быть вызвана через облачный интерфейс Wemo.

Приложение сообщества, которое делает возможной уязвимость, — это pyWeMo (обновленная версия версии, используемой в моем коворкинге). Новые устройства Wemo предлагают больше функций, но они по-прежнему отвечают на сетевые команды, отправленные из pyWeMo, без пароля или аутентификации.

Уязвимые вилки Wemo были одними из самых популярных и простых из доступных, рекомендованы многими руководствами по умному дому и, судя по отзывам, куплены тысячами покупателей. Хотя они дебютировали в 2019 году, это не смартфоны и не планшеты. Четыре года спустя у людей до сих пор не было веских причин избавляться от них.

У меня дома есть пара, которая делает такие обыденные вещи, как «включать гирлянды на перилах на закате и выключать в 22:00» и «включать машину белого шума, когда мне лень вставать с кровати, чтобы что-то делать». что." Они будут защищены от удаленного выполнения кода, как только будут измельчены и рассортированы на металлические компоненты на моем региональном предприятии по переработке электронных отходов.

Одна вещь, которая поможет устройствам Wemo избежать уязвимостей, открытых в Интернете, и недостатков поддержки в конце срока службы, — это предложение локальной поддержки через Matter. Belkin, однако, пока не горит желанием переходить на поддержку Matter, заявляя, что может предложить ее в своих продуктах Wemo, как только «найдет способ их дифференцировать». Можно предположить, что теперь Belkin представили по крайней мере один примечательный способ, которым ее будущие продукты могут отличаться.