Kesalahan Google Nest Cam IQ memungkinkan peretas untuk mengambil kendali perangkat

Google telah menambal delapan kerentanan keamanan yang ditemukan oleh para peneliti Cisco Talos

JUMLAH CACAT di Google Nest Cam IQ dapat memungkinkan peretas untuk mengambil kendali atas perangkat yang rentan.

Itu menurut para peneliti di Cisco Talos, yang mengklaim telah menemukan delapan kelemahan; tiga kerentanan penolakan layanan (DoS), dua bug eksekusi kode, dan tiga yang dapat digunakan untuk pengungkapan informasi.

Ini adalah serangkaian kelemahan keamanan terbaru yang dapat ditemukan di Nest Cams selama bertahun-tahun, meskipun Google telah dengan cepat menambal kumpulan terbaru ini setelah para peneliti memberi tahu perusahaan tentang temuan mereka sebelum go public.

Menurut para peneliti, Weave Protocol dalam versi 4620002 dari kamera Nest Cam IQ Indoor rentan terhadap beberapa bug yang baru saja diungkapkan. "Sebagian besar kerentanan ini terletak pada binary weave dari kamera; namun, ada beberapa yang juga berlaku untuk binary-tool weave," para peneliti menjelaskan dalam sebuah artikel.

Dua bug paling parah adalah CVE-2019-5035 dan CVE-2019-5040 – masing-masing memiliki peringkat CVSS 9.0 dan 8.5.

CVE-2019-5035 adalah kerentanan pengungkapan informasi brute force yang ada dalam fungsi pairing Weave PASE dari kamera Nest. Ini memungkinkan penyerang untuk memaksa kode pasangan dengan mengirimkan satu set paket tenun yang dibuat khusus. Akhirnya, ini memungkinkan penyerang untuk mendapatkan akses yang lebih besar ke Weave dan kontrol penuh perangkat.

CVE-2019-5040 adalah bug pengungkapan informasi lain yang ada di parsing Weave MessageLayer versi 4.0.2 dari Openweave-core. Penyerang dapat memicu kerentanan ini dengan menggunakan paket yang dibuat khusus untuk menyebabkan integer overflow.

Kerentanan yang kurang kritis yang ditemukan oleh para peneliti adalah CVE-2019-5043, CVE-2019-5034, CVE-2019-5036, CVE-2019-5037, CVE-2019-5038, dan CVE-2019-5039, yang diberi peringkat 7,5 dan di bawah ini pada skala CVSS.

CVE-2019-5043 adalah kerentanan DoS. Itu ada di daemon Nest IQ Weave dan dapat diminta oleh upaya koneksi berulang ke TCP. Ini akhirnya menghasilkan alokasi sumber daya tak terbatas dan menabrak sistem.

CVE-2019-5034 adalah kerentanan pemasangan pasangan Weave yang dapat digunakan untuk kebocoran informasi.

CVE-2019-5036 adalah kerentanan Weave KeyError DoS, yang ada dalam fungsi pelaporan kesalahan Weave perangkat.

CVE-2019-5037 adalah kerentanan DoS lain yang terletak pada fungsi pemuatan sertifikat Weave kamera. Ini dapat dipicu oleh pengiriman paket menenun yang dibuat secara khusus, yang menyebabkan integer overflow dan akhirnya penolakan layanan. μ

Bacaan lebih lanjut

Pos terkait

Back to top button