More

    Sonos One: Hakeri osvojili 105.000 dolara za prijavljivanje kritičnih sigurnosnih propusta

    Višestruki sigurnosni propusti otkriveni u bežičnim zvučnicima Sonos One mogu se potencijalno iskoristiti za otkrivanje informacija i izvršavanje koda na daljinu, navodi se u izvještaju koji je objavljen prošle sedmice iz Zero Day Initiative-a (ZDI).

    Ranjivosti su demonstrirala tri različita tima iz Qrious Secure, STAR Labs i DEVCORE-a na Pwn2Own hakerskom takmičenju održanom u Torontu krajem prošle godine, čime su dobili novčanu nagradu od 105.000 dolara.

    Lista od četiri mane, koje utiču na Sonos One Speaker 70.3-35220, je:

    • CVE-2023-27352 i CVE-2023-27355 (CVSS rezultati: 8,8) – Neautentifikovani nedostaci koji omogućavaju napadačima koji su u blizini mreže da izvrše proizvoljan kod na pogođenim instalacijama.
    • CVE-2023-27353 i CVE-2023-27354 (CVSS rezultat: 6,5) – Neautentifikovani nedostaci koji omogućavaju napadačima koji se nalaze u blizini mreže da otkriju osetljive informacije o pogođenim instalacijama.

    Dok CVE-2023-27352 proizlazi iz obrade naredbi upita SMB direktorija, CVE-2023-27355 postoji unutar MPEG-TS parsera.

    Uspješno iskorištavanje oba nedostatka moglo bi dozvoliti napadaču da izvrši proizvoljan kod u kontekstu root korisnika.

    Obe mane u otkrivanju informacija mogu se kombinovati odvojeno s drugim nedostacima u sistemima kako bi se postiglo izvršavanje koda s povišenim privilegijama.

    Nakon otkrivanja 29. decembra 2022. godine, Sonos je otklonio nedostatke kao dio verzija softvera Sonos S2 i S1 15.1 i 11.7.1. Korisnicima se preporučuje da primjenjuju najnovije zakrpe kako bi umanjili potencijalne rizike.

    Izvor: The Hacker News

    Recent Articles

    spot_img

    Related Stories