思科说,Trane Thermostats的缺陷强调IOT安全风险
2021-06-16 19:44:01 [来源]:
思科在星期一警告,它在互联网连接的恒温器控制中发现它,它说是典型的厂商的典型,在供应商中,他们在网络安全良好的乐观中。
在ComfortLink II恒温器中发现了瑕疵。恒温器允许用户从移动设备控制室温,显示天气,甚至充当数码相框。
思科的Talos单位表示,由于近两年前通知Trane的通知,这一问题终于修补了,这就是为什么公开的原因。
“不幸的事实是,在周一的博客帖子中写道Alex Chiu在博客帖子中写道,即可获得支持的互联网的设备并不总是高度优先。
“虽然智能恒温器,家庭照明和安全系统等IOT设备,为我们的生活带来了额外的方便,但这些漏洞突出了不安全的开发实践的危险,”他写道。
思科发现了三种漏洞,可用于获得恒温器的远程控制,运行流氓码并获得对本地网络的访问。
TRANE于2014年4月通知。它在2015年4月并于2015年4月修补了两种漏洞,并于1月27日。
“我们无法确定TRANE是否已将这些漏洞与安全建议相关联,或者如果它们有效地传达为客户安装这些更新的必要性,”他写道。“因此,Talos建议拥有这些恒温器的用户立即更新。”
ComfortLink II固件的更新版本为4.0.3,可在Triane“的网站上。
思科发现的问题违反了一些最基本的安全宗旨。ComfortLink II“的固件包含两组具有硬编码密码的用户凭据。攻击者可以通过SSH登录设备,然后可以访问完全运行的BusyBox环境,这是嵌入式Linux oSS的工具包。
与缓冲区溢出相关的其他两个漏洞,可以利用。
特拉内官员无法立即达成评论。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。
