0day 可导致设备遭远程攻陷 贝尔金不打算修复

有时候我会觉得有点诡异，没有认证就能够在 Wemo 中写入 Python 命令，然后还能切换。而现在对于更新一代也存在致命缺陷的设备我也是同样的感觉。

物联网安全研究企业 Sternum 发现并披露了位于 Wemo 迷你智能插座 V2 中的一个缓冲区溢出漏洞。博客文章中写满了关于该设备如何运作（和不运作）的有趣细节，但一个关键要点是可以通过第三方工具向设备发送长于30字符限制的名称，就能触发缓冲区溢出。这个限制是 Wemo 应用自身执行的。在这个溢出中可以注入可操作代码。如果 Wemo 和更广泛的互联网联网，那么就可以遭远程攻陷。

另外一个关键要点是，Wemo 的制造商贝尔金向 Sternum 表示，将不会修复该漏洞，因为迷你智能插座 V2“正处于生命晚期，因此该漏洞将不会被修复。”贝尔金目前尚未就此事志平。Sternum 公司声称已在1月9日将问题告知贝尔金并在2月22日收到回复，之后在3月14日披露了该漏洞。

Sternum 公司建议避免在更广阔的互联网中暴露任何一个单元，如有可能则将其分割到远离敏感设备的子网中。然而，通过 Wemo 基于云的接口可触发漏洞。

该漏洞存在的原因是社区应用 pyWeMo （是我上面提到的合作空间所使用版本的更新分叉）。更新一代的 Wemo 设备提供了更多特性，但仍然在无需密码或认证的情况下对从 pyWeMo发送的网络命令进行相应。

贝尔金公司的 Wemo 设备曾经就引发智能家庭安全问题。2014年2月，安全研究员披露称其设备通过一个固件更新工作流泄漏密码；比尔金表示已经在固件更新中修复该问题，但似乎并未告知最初的问题报告研究员或者 US-CERT（即网络安全和基础设施安全局 CISA）。2019年，研究员报告称一年前报告给贝尔金的漏洞仍然还未修复。

易受攻击的 Wemo 插座是当时可用的最流行和最简单的一类插座，得到很多智能家庭指南的推荐，而且从评价来看，购买用户数有数千人。虽然在2019年上市，但并非智能手机或平板。四年之后，直到现在人们才开始考虑不使用该设备。

我自己家里就有几个这类设备，用来做一些单调的事情如，“日落时打开楼梯上的串灯，在晚上10点关闭”，以及“我不想起床时打开白噪音机器”。如果这些命令通过我所在区域的电子垃圾工厂切碎并归类到金属成分后，就不会遭到远程代码执行攻击。

有一个办法可帮助 Wemo 设备消除暴露在互联网中的漏洞和到期不再支持的问题，那就是通过 Matter 仅提供本地支持。然而，贝尔金目前还没有采用 Matter 支持的打算，表示“找到区分方法后”，会在 Wemo 产品中提供这种支持。至少，贝尔金现在以一种值得注意的方式表示，未来产品可能会有所不同了。

题图：Pexels License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~