Owocne łowy badawczy podczas Pwn2Own – łatajcie kamery Wyze Cam v3

Chiny zdominowały rynek budżetowych urządzeń IoT. W gąszczu elektronicznych śmieci, które zostają zapomniane przez producenta w chwili opuszczenia linii produkcyjnej, znajdują się też produkty, których wsparcie jest dłuższe. Można do nich zaliczyć lubianą w niektórych kręgach twórców domowych systemów CCTV markę Wyze. Stała się ona celem ataków uczestników konkursu Pwn2Own 2023. Wynikiem testów było odnalezienie wielu krytycznych podatności, które zostały przez producenta zaadresowane. 

Omawiane luki to w szczególności:

• Podatność typu Heap-based buffer overflow (przepełnienie bufora na stercie) w sterowniku układu WiFi Realteka, skatalogowane jako CVE-2024-6246. Pozwala na osiągnięcie zdalnego wykonania kodu na urządzeniu bez uwierzytelnienia. Atakujący musi znajdować się w tej samej sieci co urządzenie 
• Luka pozwalająca na wykonywanie poleceń systemowych (OS command injection), której nadano numer CVE-2024-6247. Krytyczna luka pozwala na wykonanie dowolnych poleceń bez uwierzytelnienia. Wstrzyknięcie jest możliwe dzięki obsłudze QR kodów do konfiguracji połączeń WiFi. Brak poprawnej obsługi danych pochodzących przez użytkownika (konkretnie nazwy sieci – SSID), powoduje, że atakujący może wstrzyknąć dowolne polecenie w tym parametrze
• Zdalne wykonanie kodu bez uwierzytelnienia przez chmurowy endpoint służący do kontroli urządzeń. Atakujący znajdujący się w tej samej sieci może wykorzystać endpoint run_action_batch oraz uwierzytelnienie z wykorzystaniem jedynie adresu MAC urządzenia. Luka została sklasyfikowana pod numerem CVE-2024-6248, a autorem znaleziska jest Rafał Goryl!
• Zdalne wykonanie kodu przez przepełnienie na stosie – w kodzie odpowiedzialnym za obsługę ruchu TCP. Winna temu jest biblioteka implementująca TUTK P2P. W wyniku braku sprawdzenia długości danych pochodzących od użytkownika i próby zapisania ich do bufora o stałej długości dochodzi do oczywistego błędu – atakujący może wykorzystać tę podatność do wykonania dowolnego kodu na urządzeniu. Ta podatność została opisana jako CVE-2024-6249. 

Oczywiście, jak to w przypadku IoT bywa, serwisy na urządzeniu są uruchomione w kontekście użytkownika root, co powoduje, że każde wykonanie kodu/polecenia jest równoznaczne z pełnym przejęciem kontroli. 

Badaczom gratulujemy owocnych łowów. Na kamerze zdobyto zdalne wykonanie kodu na cztery różne sposoby, a programiści Wyze nie mieli pewnie najłatwiejszego okresu. Jeśli jesteście posiadaczami kamer Wyze, to zalecamy pilną aktualizację. Pozytywnym aspektem tej historii jest fakt, że najczęściej atakujący musi być w tej samej sieci co kamera, co nie powinno zdarzać się za często. 

Przypominamy, że wszelkiego rodzaju urządzenia IoT najlepiej umieścić w oddzielnej, specjalnie do tego celu przeznaczonej sieci, aby ewentualne przejęcie hostów znajdujących się w tej sieci miało minimalny wpływ na krytyczne urządzenia takie jak smartfony i komputery użytkowników. 

~fc