【安全圈】物联网云渠道 OvrC 曝一系列缝隙黑客可长途履行恶意代码

  安全公司 Claroty 发布陈述，曝光了一款海外盛行的物联网设备云端办理渠道 Ovr 内含的一系列严重缝隙。安全公司宣称黑客值勤连续使用这些缝隙完成在物联网设备上长途履行恶意代码，而依据 CVSS 危险评价，部分曝光的缝隙危险评分高达 9.2（满分 10 分）。

  据悉，OvrC 物联网渠道的基本功能是经过移动使用或根据 Web Socket 的界面为用户更好的供给长途配置办理、运作时的状况监控等服务。自动化公司 SnapOne 在 2014 年收买了该渠道，在 2020 年宣称 OvrC 已拥有约 920 万台设备，而现在该渠道估计坐拥 1000 万台设备。

  IT 之家参阅安全陈述得悉，相关缝隙最重要的包含输入验证缺乏、不妥的拜访操控、灵敏信息以明文传输、数据完整性验证缺乏、开放式重定向、硬编码暗码、绕过身份验证等，此类缝隙大多源于设备与云端接口的安全方便缺点，黑客可使用缝隙绕过防火墙，避开网络地址转化（NAT）等安全机制，从而在渠道设备上运转恶意代码。

  关于缝隙的详细使用方法，研究人员指出，黑客值勤先使用 CVE-2023-28412 缝隙获取一切受管设备的列表，再经过 CVE-2023-28649 和 CVE-2024-50381 缝隙强制设备进入 未声明一切权 （Unclaim）状况。随后黑客即可使用 CVE-2023-31241 缝隙将 MAC 地址与设备 ID 匹配，并经过设备 ID 从头声明设备一切权，终究完成长途履行代码。

  值得注意的是，在研究人员陈述后，大部分问题已于上一年 5 月被修正，但仍有两个缝隙直到本月才得到解决，现在，该渠道已彻底修正相应缝隙。

  特别声明：以上内容(如有图片或视频亦包含在内)为自媒体渠道“网易号”用户上传并发布，本渠道仅供给信息存储服务。

  足坛影响1夜：英格兰5-0晋级 哈兰德戴帽挪威5-0 法国3-1意大利

  率队5-0晋级！哈兰德起飞：48分钟戴帽 16场19球加冕欧国联射手王

  聪明的宝宝会在睡觉和挨打之间坚决果断的挑选睡觉~这姐姐哄弟弟睡觉，好一个姐弟情深！

  怎么激起潜能，成果孩子的优异？11月23日，来成都狄邦肯思深度体会15节中外教全真讲堂

  首支退出LPL的战队诞生！官宣：RA壁画将不再参与LPL和LDL赛事

上一篇：物联网平台架构图 下一篇：物联网云渠道 OvrC 曝一系列缝隙黑客可长途履行恶意代码