目录导航
Rapid7 研究员 Arvind Vishwakarma 在 Fortress S03 WiFi 家庭安全系统中发现了多个漏洞。这些漏洞可能导致未经授权访问控制或修改系统行为,以及访问存储或传输中的未加密信息。
CVE-2021-39276 描述了CWE-287 的一个实例;具体来说,它描述了一个不安全的云 API 部署,它允许未经身份验证的用户轻松地学习一个秘密,然后可以用来远程更改系统的功能。它的初始 CVSS 分数为5.3(中等)。CVE-2021-39277 描述了CWE-294 的一个实例,一个在射频 (RF) 信号范围内的任何人都可以捕获和重放 RF 信号以改变系统行为的漏洞,初始 CVSS 分数为5.7。
产品描述
Fortress S03 WiFi 家庭安全系统是一个自己动手 (DIY) 的消费级家庭安全系统,它利用 WiFi 和 RF 通信来监控门、窗和运动检测,以发现可能的入侵者。Fortress 还可以为您以电子方式监控系统,每月收费。可以在供应商的网站上找到有关该产品的更多信息。
Fortress S03 Wi-Fi 家庭安全系统是一种自助 (DIY) 警报系统,可让用户利用 Wi-Fi 和 RFID 技术保护他们的家庭和小型企业免受窃贼、火灾、煤气泄漏和漏水的侵害用于无钥匙进入。据其网站称,该公司的安全和监控系统被“成千上万的客户和持续客户”使用。
归功于
这些问题是由 Rapid7 研究员Arvind Vishwakarma发现的,并且正在根据Rapid7 的漏洞披露政策进行披露。
Exploitation
以下是有关两个已披露漏洞的详细信息。一般来说,这些问题很容易被已经对目标有一定了解的有动机的攻击者利用。
CVE-2021-39276:未经身份验证的 API 访问
如果恶意行为者知道用户的电子邮件地址,他们可以使用它来查询基于云的 API 以返回国际移动设备标识 (IMEI) 号码,该号码似乎也用作设备的序列号。以下发布请求结构用于进行此未经身份验证的查询并返回 IMEI:
有了设备 IMEI 号码和用户的电子邮件地址,恶意行为者就有可能对系统进行更改,包括解除警报。要撤防系统,可以将以下未经身份验证的 POST 发送到 API:
CVE-2021-39277:易受 RF 信号重放攻击
被测系统被发现容易受到 RF 重放攻击。当无线电控制设备没有正确实施加密或旋转密钥保护时,攻击者可以通过空中捕获命令和控制信号,然后重放这些无线电信号,以便在相关设备上执行功能。
作为测试示例,用于在遥控钥匙、门窗接触传感器和 Fortress 控制台之间进行通信的 RF 信号在 433 MHz 频段中被识别出来。使用软件定义无线电 (SDR) 设备,研究人员能够捕获设备“布防”和“撤防”命令的正常操作。然后,重放捕获的 RF 信号通信命令将布防和撤防系统,而无需进一步的用户交互。
影响
对于 CVE-2021-39276,攻击者可以使用 Fortress S03 用户的电子邮件地址在用户不知情的情况下轻松解除已安装的家庭警报。虽然这对于随机的、机会主义的家庭入侵者来说通常不是什么问题,但当攻击者已经很了解受害者(例如前配偶或其他疏远的伴侣)时,这尤其令人担忧。
CVE-2021-39277 提出了类似的问题,但不需要受害者的先验知识,因为攻击者可以简单地放样财产并等待受害者在无线电范围内使用 RF 控制的设备。攻击者随后可以在受害者不知情的情况下重播“解除武装”命令。
缓解措施
在没有补丁或更新的情况下,为了解决 CVE-2021-39276 中描述的 IMEI 号码暴露问题,用户可以使用唯一的一次性电子邮件地址配置他们的警报系统。许多电子邮件系统允许对电子邮件地址进行“加标记”。例如,用户可以注册“[email protected]”并将该加号电子邮件地址视为密码的替代品。
对于 CVE-2021-39277,在没有固件更新来对 RF 信号实施加密控制的情况下,用户似乎几乎无法减轻 RF 重放问题的影响。担心这种暴露的用户应避免使用与其家庭安全系统相关联的密钥卡和其他射频设备。
披露时间表
- 2021 年 5 月: Rapid7的Arvind Vishwakarma发现的问题
- 2021 年 5 月 13 日,星期四:最初联系 Fortress 支持电子邮件
- 2021 年 5 月 13 日星期四:已创建票号 #200781
- 2021 年 5 月 24 日,星期一:门票 #200781 被 Fortress 关闭
- 2021 年 8 月 18 日,星期三: Rapid7 创建了一个后续工单 #203001,其中包含漏洞详细信息并重申发布意图
- 2021 年 8 月 31 日,星期二:公开披露