تسمح عيوب Google Nest Cam IQ للمتسللين بالتحكم في الأجهزة

by admin3739

قامت Google بتصحيح ثمانية ثغرات أمنية اكتشفها باحثو سيسكو تالوس

  

عدد العيوب في Google Nest Cam IQ ، يمكن للمتطفلين التحكم في جهاز ضعيف.

هذا وفقًا للباحثين في Cisco Talos ، الذين يزعمون أنهم اكتشفوا ثمانية عيوب ؛ ثلاثة ثغرات في رفض الخدمة (DoS) ، واثنان من الأخطاء في تنفيذ التعليمات البرمجية ، وثلاث نقاط يمكن استخدامها للكشف عن المعلومات.

هذه هي أحدث سلسلة من الثغرات الأمنية التي يمكن العثور عليها في Nest Cams على مر السنين ، على الرغم من أن Google كانت سريعة لتصحيح هذه الدفعة الأخيرة بعد أن أبلغ الباحثون الشركة بنتائجهم قبل نشرها على الملأ.

وفقًا للباحثين ، كان بروتوكول Weave في الإصدار 4620002 من الكاميرا Nest Cam IQ Indoor عرضة لبعض الأخطاء التي تم الكشف عنها حديثًا. "معظم هذه الثغرات تكمن في نسج ثنائي الكاميرا ، ومع ذلك ، هناك بعض التي تنطبق أيضا على ثنائي نسج أداة" ، وأوضح الباحثون في الكتابة.

الخللان الأكثر خطورة هما CVE-2019-5035 و CVE-2019-5040 – يحملان تصنيفات CVSS تبلغ 9.0 و 8.5 على التوالي.

CVE-2019-5035 هي مشكلة عدم حصانة الكشف عن المعلومات الغاشمة الموجودة في وظيفة إقران Weave PASE لكاميرا Nest. إنه يُمكّن المهاجم من فرض كود الاقتران عن طريق إرسال مجموعة من حزم نسج مصممة خصيصًا. في النهاية ، يسمح للمهاجم بالوصول إلى النسيج بشكل أكبر والتحكم الكامل في الجهاز.

CVE-2019-5040 عبارة عن خطأ آخر في الكشف عن المعلومات موجود في تحليل نسج MessageLayer الإصدار 4.0.2 من Openweave-core. يمكن للمهاجم تشغيل مشكلة عدم الحصانة هذه باستخدام حزم مصممة خصيصًا للتسبب في تجاوز عدد صحيح.

نقاط الضعف الأقل أهمية التي اكتشفها الباحثون هي CVE-2019-5043 ، CVE-2019-5034 ، CVE-2019-5036 ، CVE-2019-5037 ، CVE-2019-5038 ، و CVE-2019-5039 ، والتي تم تقييمها 7.5 وأدناه على مقياس CVSS.

CVE-2019-5043 هو عدم حصانة DoS. إنه موجود في البرنامج الخفي لنس IQ الخاص بـ Nest ويمكن المطالبة به من خلال محاولات الاتصال المتكررة لبرنامج TCP. يؤدي في النهاية إلى تخصيص موارد غير محدود وتعطل النظام.

إن CVE-2019-5034 هي ثغرة أمنية في الإقران القديم من نسج والتي يمكن استخدامها لتسرب المعلومات.

CVE-2019-5036 هي مشكلة عدم حصانة Weave KeyError DoS ، والتي توجد في وظيفة الإبلاغ عن أخطاء Weave للجهاز.

يمثل CVE-2019-5037 نقطة ضعف أخرى في DoS تكمن في وظيفة تحميل شهادة Weave للكاميرا. يمكن تشغيله من خلال إرسال حزمة نسج مصممة خصيصًا ، مما يؤدي إلى تجاوز عدد صحيح وفي نهاية المطاف رفض الخدمة. μ

قراءة متعمقة