VGo机器人漏洞可远程操控进行监视

  • A+
所属分类:网络安全新闻

VGo机器人漏洞可远程操控进行监视

医疗保健物联网分析平台提供商分析了Vecna的VGo远程呈现机器人。昵称为Celia,它有一个XMPP聊天客户端,支持通过VGoNet云网络进行语音和视频通信。

当连接呼叫时,其面部显示在设备屏幕上的呼叫者可以使用客户端界面控制机器人。除语音呼叫和视频流之外,机器人还可以说出短信,以不同的速度移动,拍照和识别语音。VGo远程呈现机器人受到漏洞的影响

在评估设备时,Zingbox发现了它通过ICS-CERT向制造商报告的五个漏洞。这些包括通常在物联网设备中发现的问题,例如未充分保护的凭证以及以明文形式传输敏感信息。

设备中发现的最重要问题之一是固件更新是通过HTTP提供的。跟踪为CVE-2018-8860,该漏洞可能允许攻击者嗅探网络拦截更新。

接下来,攻击者可以使用各种工具来查看拦截的固件内部,并发现可能会攻击机器人的弱点。Zingbox安全研究人员确实以CGI脚本的形式发现了这样一个问题,该脚本不应该被包含在生产中,作为一种开发工具。

它可以在机器人上运行有限的命令,可能用于诊断,例如查看正在运行的进程,查看日志,重新启动机器人以及查看网络连接,研究人员在一份报告(PDF)中解释道。

跟踪为CVE-2018-8866,由于缺乏输入验证,下一个漏洞包括CGI的大多数GET参数易受命令注入攻击。这为研究人员提供了任意的命令执行能力。

由于CGI脚本以root权限运行,因此研究人员还可以获得对机器人的未授权root访问权限。利用这些权限,攻击者可以滥用机器人来定位位于同一网段的其他系统。

通过物理访问位于机器人背面的USB插槽也可以实现代码执行。在根分区的config文件夹中包含名为startup.script的文件的USB棒的攻击者可以通过简单地将设备插入端口并重新启动机器人来获得代码执行。

一旦进入机器人,研究人员还发现Wi-Fi和机器人XMPP凭证以纯文本形式存储(CVE-2018-8858)。有了Wi-Fi凭证,攻击者就可以开始攻击网络上的其他资产。

安全研究人员还在日志文件中发现了聊天信息,从而能够读取和窃取对话伙伴之间发送的文本消息。当机器人拍摄的照片暂时存储在机器人的文件系统中时,已经可以访问机器人的攻击者也可以在创建它们时检索它们。

此外,研究人员警告称,攻击者可以远程捕获实时视频流并开始观看受害者的生活。

供应商发布了修补漏洞的更新。默认情况下启用自动更新。

  • 服务器购买微信群
  • 阿里云&腾讯云&国外VPS
  • weinxin
  • 服务器购买QQ群
  • 阿里云&腾讯云&国外VPS
  • weinxin
CE安全网

发表评论

您必须登录才能发表评论!