O que começou como uma jornada para aprender mais sobre um novo intercomunicador inteligente dentro dos escritórios da Claroty, se transformou em um amplo projeto de pesquisa do Claroty Team82, que descobriu 13 vulnerabilidades que poderiam permitir que os invasores executassem remotamente um código para ativar e controlar a câmera e o microfone do dispositivo, roubar vídeos e imagens, ou se infiltrar na rede. As 13 vulnerabilidades puderam ser exploradas, por meio de três vetores principais de ataque:
- Execução remota de código na rede local;
- Ativação remota da câmera e microfone de um dispositivo, e transmissão de dados de volta ao invasor;
- Acesso a servidor FTP externo e inseguro, download de imagens e dados armazenados.
O dispositivo, Akuvox E11, permaneceu sem correção após muitas tentativas malsucedidas de contato e coordenação da divulgação com o fornecedor chinês, líder global em intercomunicadores inteligentes SIP. Nossos esforços para entrar em contato com a Akuvox começaram em janeiro de 2022 e, ao longo do caminho, vários tíquetes de suporte foram abertos pelo Claroty Team82 e imediatamente fechados pelo fornecedor, antes que a nossa conta fosse finalmente bloqueada em 27 de janeiro de 2022.
Envolvemos o CERT/CC (Centro de Coordenação do Centro de Estudos para Resposta e Tratamento de Incidentes em Computadores, na sigla em inglês), que também fez várias tentativas de contato com o fornecedor sem sucesso. Após meses de tentativas fracassadas, divulgamos as nossas descobertas a CISA, em dezembro. A CISA também não obteve sucesso em trabalhar com a Akuvox e publicou um comunicado descrevendo 13 vulnerabilidades encontradas pelo Claroty Team82. As implicações dessas falhas variam de autenticação ausente, chaves de criptografia codificadas, autorização imprópria ou falta de autorização, e a exposição de informações confidenciais a usuários não autorizados.
O Claroty Team82 também publicou um artigo técnico descrevendo alguns dos detalhes dessas vulnerabilidades de dia zero.
Declaração da Akuvox
A Akuvox entrou em contato com o Claroty Team82 informando que confirmou as 13 vulnerabilidades descobertas no intercomunicador inteligente E11 e disse que atualizaria o firmware para esses dispositivos antes de 20 de março.
Em uma declaração aos clientes e parceiros enviada por e-mail ao Claroty Team82, a Akuvox disse:
“Observamos um relatório recente de pesquisa da Claroty sobre as vulnerabilidades do Akuvox E11 e publicações relevantes na mídia. Depois de confirmarmos a existência das vulnerabilidades, demos prioridade máxima para corrigi-las. Um firmware atualizado será lançado antes de 20 de março de 2023 e estará disponível na Base de Conhecimento Akuvox.
Além disso, a Akuvox cumpre rigorosamente as leis e regulamentos em todos os países e regiões onde operamos e está empenhada em melhorar continuamente a segurança do produto, para atender aos requisitos mais rigorosos e proteger melhor os usuários dos nossos produtos”.
