Уразливості Bitdefender BOX v1 ставлять під загрозу розумні будинки

Компанія Bitdefender виявила три критичні уразливості у своєму пристрої Bitdefender BOX v1, призначеному для захисту розумних будинків. Хоча пристрій вже знятий з виробництва, багато користувачів досі ним користуються, що створює ризик віддаленого захоплення хакерами. 

Виявлені вразливості можуть дозволити зловмисникам виконувати довільний код, змінювати оновлення та відкатувати прошивку до старих, незахищених версій.

• CVE-2024-13870 (CVSS 1.8) – дає змогу перевести пристрій у режим відновлення та повернути стару прошивку, що робить його вразливим до попередніх атак.
• CVE-2024-13871 (CVSS 9.4) – вразливість у вигляді ін’єкції команд через API /check_image_and_trigger_recovery, яка дозволяє хакерам отримати повний контроль над пристроєм.
• CVE-2024-13872 (CVSS 9.4) – ненадійний механізм оновлень, що використовує незашифрований HTTP, створюючи можливість атак «людина посередині» (MITM) та впровадження шкідливого коду.

Bitdefender випустила оновлення до версії 1.3.11.510, яке усуває лише одну з проблем. Проте підтримка пристрою офіційно припинена. Bitdefender BOX v1 свого часу рекламувався як комплексне рішення для захисту комп’ютерів, смартфонів, камер спостереження, ігрових консолей та інших пристроїв. Однак після припинення підтримки пристрій більше не отримує оновлень безпеки, що робить його потенційно небезпечним для користувачів.

Компанія Bitdefender рекомендує негайно припинити використання BOX v1 та перейти на сучасніші рішення. Оскільки пристрій більше не отримує оновлень, він залишається вразливим до атак, що дозволяють хакерам дистанційно керувати ним і становлять загрозу для інших пристроїв у мережі.