巴科修复了Clickshare无线缺陷,但用户仍然有风险
比利时数字投影和成像技术供应商Barco在其流行的Clickshare无线演示产品中修补了一个严重的漏洞,这些产品可以使网络攻击者能够在演示期间拦截和操作信息,窃取密码和其他有价值的数据,并安装后门和恶意软件。但是,根据F-Secure的威胁研究人员,用户可能无法完全保护。
ClickShare使用户能够通过共享和呈现来自不同设备的内容来协调。根据Futuresource咨询统计数据,它命令约占其市场的29%,并在多家大型企业中使用,包括建筑巨头Skanska,汽车租赁公司Avis以及约40%的财富1,000。
今年秋季在2019年12月16日发布的固件更新之前,该漏洞是针对今年秋季的F-Secure Consulting,作为两家供应商之间的协作协调披露工作的一部分。
但是,F-Secure表示用户可能不会从树林中脱离,因为许多问题涉及需要物理维护的硬件组件。F-Secure高级顾问Dmitry Janushkevich表示,这突出了保护任何智能设备的困难。
“硅的错误,在设计中,在嵌入式软件中可以对供应商和用户进行长期的负面影响,破坏了我们放入这些设备的信任,”他说。
Janushkevich表示,此类工具的普及使网络犯罪分子成为目标企业受害者的逻辑方式。
“[Clickshare]系统如同实用且易于使用,人们看不到任何原因不信任它,”他说。“但它的欺骗性简约隐藏了极其复杂的内部工作,这种复杂性使安全挑战。
“人们信任没有第二次思想的日常物体为攻击者做出了最佳目标,因为这些系统与公司如此受欢迎,我们决定戳它,看看我们可以学到什么。”
Janushkevich及其团队在注意到他们注意到它经常被红色团队探讨其组织的防御作为安全考试的一部分,所以在探究点击声。
F-Secure团队发现多个可利用缺陷,其中10个具有常见漏洞和曝光(CVE)IDS已分配的漏洞。
他们说,虽然利用一些漏洞确实对设备进行了物理访问的铰链 - 可能在播放作为清洁或维护工作者时 - 如果目标用户仍在使用Clickshare的默认设置,则可以远程完成。
“我们的测试的主要目标是抵床系统,所以我们可以妥协演示者,并在提出时窃取信息,”Janushkevich说。“虽然破解周长很难,但我们在获得访问权限之后,我们就能找到多个问题,一旦我们对系统更加了解,我们就很容易。对于攻击者来说,这是一种快速,实用的方法来折衷公司,组织需要告知自己有关相关的风险。“