思科说,Trane Thermostats的缺陷强调IOT安全风险
2021-07-05 09:46:20来源:
思科在星期一警告,它在互联网连接的恒温器控制中发现它,它说是典型的厂商的典型,在供应商中,他们在网络安全良好的乐观中。
在ComfortLink II恒温器中发现了瑕疵。恒温器允许用户从移动设备控制室温,显示天气,甚至充当数码相框。
思科的Talos单位表示,由于近两年前通知Trane的通知,这一问题终于修补了,这就是为什么公开的原因。
“不幸的事实是,在周一的博客帖子中写道Alex Chiu在博客帖子中写道,即可获得支持的互联网的设备并不总是高度优先。
“虽然智能恒温器,家庭照明和安全系统等IOT设备,为我们的生活带来了额外的方便,但这些漏洞突出了不安全的开发实践的危险,”他写道。
思科发现了三种漏洞,可用于获得恒温器的远程控制,运行流氓码并获得对本地网络的访问。
TRANE于2014年4月通知。它在2015年4月并于2015年4月修补了两种漏洞,并于1月27日。
“我们无法确定TRANE是否已将这些漏洞与安全建议相关联,或者如果它们有效地传达为客户安装这些更新的必要性,”他写道。“因此,Talos建议拥有这些恒温器的用户立即更新。”
ComfortLink II固件的更新版本为4.0.3,可在Triane“的网站上。
思科发现的问题违反了一些最基本的安全宗旨。ComfortLink II“的固件包含两组具有硬编码密码的用户凭据。攻击者可以通过SSH登录设备,然后可以访问完全运行的BusyBox环境,这是嵌入式Linux oSS的工具包。
与缓冲区溢出相关的其他两个漏洞,可以利用。
特拉内官员无法立即达成评论。
返回科技金融网首页 >>
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。
