В системах управления «умным» домом Logitech Harmony обнаружены опасные уязвимости

Специалисты команды FireEye Mandiant Red Team обнаружили ряд уязвимостей в системах управления «умным» домом Logitech Harmony, позволяющие атакующему с локальным доступом получить полный контроль над устройствами, подключенными к хабу, а также скомпрометировать другие устройства в сети.

По мнению исследователей, проблемы представляют серьезную угрозу, поскольку многие владельцы «умных» домов используют систему для управления смарт-замками и термостатами. В общей сложности эксперты выявили четыре уязвимости, позволяющие получить доступ с правами суперпользователя к устройству через SSH-подключение.

Проблемы затрагивают линейку продуктов Logitech Harmony, в том числе Harmony Elite, Home Hub, Ultimate Hub, Home Control, Pro, Smart Control, Companion, Smart Keyboard, Ultimate, Ultimate Home и harmony Hub.

Одна из уязвимостей связана с наличием информации об отладке в образе прошивки, вторая проблема присутствует в связи с некорректной проверкой SSL-сертификатов при обновлении прошивки. Сам механизм обновления также оказался небезопасным, позволяя атакующему внедрить вредоносную прошивку на устройство.

Поскольку в устройстве не установлен корневой пароль, злоумышленник может получить доступ с правами суперпользователя по протоколу SSH, если ему удастся включить Dropbear SSH-сервер, к примеру, загрузив специально сформированную прошивку.

Исследовали проинформировали производителя о проблемах в конце января нынешнего года. В середине апреля компания выпустила обновление прошивки 4.15.96. Всем пользователям рекомендуется установить обновление как можно скорее.

Источник