ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全安全新闻 → VGo机器人漏洞可远程操控进行监视

VGo机器人漏洞可远程操控进行监视

时间:2018-10-20 00:00:00人气:作者:本站作者我要评论

VGo机器人漏洞可远程操控进行监视

医疗保健物联网分析平台提供商分析了Vecna的VGo远程呈现机器人。昵称为Celia,它有一个XMPP聊天客户端,支持通过VGoNet云网络进行语音和视频通信。

当连接呼叫时,其面部显示在设备屏幕上的呼叫者可以使用客户端界面控制机器人。除语音呼叫和视频流之外,机器人还可以说出短信,以不同的速度移动,拍照和识别语音。VGo远程呈现机器人受到漏洞的影响

在评估设备时,Zingbox发现了它通过ICS-CERT向制造商报告的五个漏洞。这些包括通常在物联网设备中发现的问题,例如未充分保护的凭证以及以明文形式传输敏感信息。

设备中发现的最重要问题之一是固件更新是通过HTTP提供的。跟踪为CVE-2018-8860,该漏洞可能允许攻击者嗅探网络拦截更新。

接下来,攻击者可以使用各种工具来查看拦截的固件内部,并发现可能会攻击机器人的弱点。Zingbox安全研究人员确实以CGI脚本的形式发现了这样一个问题,该脚本不应该被包含在生产中,作为一种开发工具。

它可以在机器人上运行有限的命令,可能用于诊断,例如查看正在运行的进程,查看日志,重新启动机器人以及查看网络连接,研究人员在一份报告(PDF)中解释道。

跟踪为CVE-2018-8866,由于缺乏输入验证,下一个漏洞包括CGI的大多数GET参数易受命令注入攻击。这为研究人员提供了任意的命令执行能力。

由于CGI脚本以root权限运行,因此研究人员还可以获得对机器人的未授权root访问权限。利用这些权限,攻击者可以滥用机器人来定位位于同一网段的其他系统。

通过物理访问位于机器人背面的USB插槽也可以实现代码执行。在根分区的config文件夹中包含名为startup.script的文件的USB棒的攻击者可以通过简单地将设备插入端口并重新启动机器人来获得代码执行。

一旦进入机器人,研究人员还发现Wi-Fi和机器人XMPP凭证以纯文本形式存储(CVE-2018-8858)。有了Wi-Fi凭证,攻击者就可以开始攻击网络上的其他资产。

安全研究人员还在日志文件中发现了聊天信息,从而能够读取和窃取对话伙伴之间发送的文本消息。当机器人拍摄的照片暂时存储在机器人的文件系统中时,已经可以访问机器人的攻击者也可以在创建它们时检索它们。

此外,研究人员警告称,攻击者可以远程捕获实时视频流并开始观看受害者的生活。

供应商发布了修补漏洞的更新。默认情况下启用自动更新。

相关文章

猜你喜欢

  • 深入解析浅谈《快3单双准确率方法》成功方案

    2022-09-28 /

  • 全网首发《快3单双大小必中方法技巧》思路汇总

    2022-09-28 /

  • 资深攻略《快3大小必中技巧》上岸方法

    2022-09-28 /

  • 【最准确的玩法】《回血上岸计划导师QQ》操作系列

    2022-09-28 /

  • 经验教程《导师一分快三计划》最新窍门

    2022-09-28 /

  • 高手教你《大小单双最安全的打法》三期必中

    2022-09-28 /

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

本类推荐

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 琼ICP备2021004244号-1| 琼ICP备2021004244号-1

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网