米国の電力・電子機器大手イートンは、セキュリティ研究者が数千台のスマートセキュリティ警報システムにリモートアクセスできるようになるセキュリティ脆弱性を修正した。
セキュリティ研究者 ヴァンゲリス・スティカス 彼はその脆弱性を発見したと述べた Eaton の SecureConnectは、顧客がモバイル アプリからセキュリティ警報システムにリモートでアクセス、管理、作動および解除できるクラウドベースのシステムです。
Stykas氏によると、この脆弱性により誰でも新規ユーザーとしてサインアップし、そのアカウントを他のユーザーグループ(イートン社のクラウドに接続されているすべてのスマート警報システムにアクセスできる「ルート」グループを含む)に割り当てることが可能になったという。
この脆弱性は、安全でない直接オブジェクト参照 (IDOR) として知られており、サーバー上のアクセス制御が弱いか欠如しているために、ファイル、データ、またはユーザー アカウントへの無制限のアクセスを許可するセキュリティ バグの一種です。 Stykas氏は、このバグはBurp Suiteのような中間者ツールを使用すると、新規ユーザーのグループ番号を傍受し、ルートグループの番号(単純に「1」)と交換することで簡単に悪用できると述べた。
Stykas 氏は、ルート グループにユーザーを追加すると、登録ユーザーの名前や電子メール アドレス、接続されているすべてのセキュリティ警報システムの位置など「すべてにアクセスできるようになる」と述べました。 スティカス氏は、このアクセスにより、潜在的な攻撃者がイートン社のクラウドに接続されたセキュリティ警報システムを遠隔操作できる可能性があると述べたが、彼はそれを試みなかった。
で セキュリティ通知 イートンはウェブサイトに公開し、グループアクセス認証ロジックでバグが発見されたことを認めた。
Eaton の広報担当者である Jonathan Hart 氏は、この脆弱性は 5 月に修正されたと述べた。 ハート社はスマートアラームの顧客が何社いるのかについては明らかにしなかったが、スティカス氏はイートン社に接続されたスマートアラームシステムの数は数万台後半に上ると述べた。
イートン氏は、この脆弱性により接続されたセキュリティ警報システムの遠隔制御が可能になるかどうかについては言及を避けた。 Eaton氏は、この脆弱性は「単一のイベントであることが確認された」と述べたが、どのようにしてこの結論に至ったのか、また脆弱性が以前に発見されたか悪用されたのかを判断するためのログシステムなどの技術的手段を同社が持っているかどうかについては言及しなかった。