Aleph Research于3月7日發(fā)布的兩篇博文顯示����,Sceiner固件中的多個漏洞允許攻擊者操縱智能鎖并打開門����。Sceiner總部位于中國東部某市����,是一家生產(chǎn)各種智能鎖的科技公司,這些智能鎖以其名義和其他品牌在全球范圍內(nèi)銷售���,Sceiner為其提供智能鎖設計����、固件和相關應用程序。以色列的Kontrol和Elock是銷售Sceiner開發(fā)的智能鎖品牌的兩家公司�。Aleph Research表示,由于Sceiner固件和相關應用程序中發(fā)現(xiàn)的問題���,他們的產(chǎn)品容易受到攻擊�����。智能鎖中的漏洞意味著攻擊者不僅可以在線訪問�,還可以直接開門趕往用戶家里�。卡耐基梅隆軟件工程學院的CERT協(xié)調(diào)中心(CERT/CC)于3月7日發(fā)布了漏洞通報��,并稱受影響的供應商已于 2023 年 11 月收到通知����,但尚未做出回應。
概述
Kontrol和Elock鎖是使用Sciener提供的固件的電子鎖���。該固件與一個名為TTLock的應用程序協(xié)同工作�,該應用程序也是由Sciener開發(fā)的。TTLock應用程序利用藍牙連接來連接到使用Sciener固件的鎖����,并允許對鎖進行操作��。Sceiner固件鎖還支持外設���。同樣由Sciener生產(chǎn)的GatewayG2允許通過TTLock應用程序通過WiFi連接到適當?shù)逆i��。Sciener固件還允許無線鍵盤連接到支持的設備�。
該智能鎖具有優(yōu)質(zhì)的外觀(以及相匹配的價格)���,提供許多功能(在分析研究的例子中����,這些功能轉(zhuǎn)化為許多攻擊面):
通過智能手機應用程序(TTLock����,適用于iOS和Android)進行控制。鎖通過藍牙LE (BLE) 與應用程序通信�。
通過集成鍵盤鎖定/解鎖。
通過指紋識別器解鎖。
使用RFID標簽解鎖���。
通過特殊的網(wǎng)關設備通過互聯(lián)網(wǎng)解鎖�����。
通過指定按鈕(位于門內(nèi)側(cè))鎖定/解鎖�。
多次解鎖失敗后發(fā)出聲音報警����。
此外,TTLock應用程序還提供以下(非詳盡)功能列表:
向其他用戶授予對鎖的訪問權(quán)限(虛擬鑰匙)�。
限制虛擬鍵的使用:
重復的時間范圍(例如,讓清潔人員進入公寓)
有限的時間范圍(例如�����,讓客人在住宿期間進入)
一次性使用(例如���,讓維護人員進入公寓)
記錄鎖的使用情況 -通過應用程序進行的每次鎖定和解鎖都會被記錄����。
鎖的配置:添加指紋�、RFID標簽等。
分析表明,Kontrol和Elock鎖容易通過Sciener固件受到攻擊�����。TTLock App和GatewayG2中的漏洞可被進一步利用來損害相關電子鎖的完整性���。Elock鎖容易受到Sciener固件的攻擊���,而Kontrol Lux鎖(一種特定的鎖型號)則具有獨特的無線漏洞���。其中許多漏洞是通過unlockKey字符造成的���。當將unlockKey字符提供給適當?shù)逆i時,可用于解鎖或鎖定設備�����。
已發(fā)現(xiàn)的漏洞共有8個����,編號為CVE-2023-7003至CVE-2023-7007、CVE-2023-7009�、CVE-2023-7017 和 CVE-2023-6960)影響運行固件版本6.5.x至6.5的 Kontrol Lux設備。Gateway G2產(chǎn)品運行固件版本6.0.0,TTLock應用程序版本 6.4.5����。
漏洞描述
這批發(fā)現(xiàn)的漏洞共有8個,將引發(fā)重復使用虛擬密鑰���,挑戰(zhàn)暴力破解�,明文消息處理��,應用協(xié)議降級����,網(wǎng)關密鑰更換,無線鍵盤暴力破解��,未經(jīng)身份驗證的更新和完全接管以及未受保護的調(diào)試端口這類問題�����。具體描述如下:
CVE-2023-7003
使用Sciener固件的鎖與無線鍵盤之間的配對過程中使用的AES密鑰不是唯一的����,并且可以重復使用以危害使用Sciener固件的其他鎖。該AES密鑰可用于連接到任何其他支持無線鍵盤的Sciener鎖�,無需用戶知情或交互�。
CVE-2023-7004
TTLock應用程序未采用適當?shù)尿炞C程序來確保其與預期設備進行通信�����。威脅行為者可以利用這一點�,引入一種欺騙鎖的MAC地址的設備,從而破壞unlockKey值����。
CVE-2023-7005
可以將特制的消息發(fā)送到TTLock應用程序,該消息會降級用于通信的加密協(xié)議��,并可用于破壞鎖��,例如通過提供unlockKey字符�����。在質(zhì)詢請求過程中�,如果消息以未加密的方式發(fā)送到鎖�����,并且?guī)в幸唤M特定的信息�����,則包含unlockKey字符的相應消息將以未加密的方式提供。
CVE-2023-7006
使用Sciener固件的鎖中的unlockKey字符可以通過重復的質(zhì)詢請求進行暴力破解���,從而損害鎖的完整性���。質(zhì)詢請求發(fā)生在解鎖過程中,并且包含0到65535之間的隨機整數(shù)�。質(zhì)詢請求可以不受任何限制地重復提示和響應,直到發(fā)現(xiàn)正確的整數(shù)��。成功完成挑戰(zhàn)請求將提供unlockKey字符�。
CVE-2023-7007
Sciener服務器不驗證來自GatewayG2的連接請求,從而允許冒充攻擊���。攻擊者可以冒充已與鎖建立連接的GatewayG2的MAC地址���,然后連接到Sciener服務器并接收消息,而不是合法的GatewayG2���。這可以方便unlockKey字符的訪問�����。
CVE-2023-7009
Kontrol Lux鎖支持通過低功耗藍牙進行明文消息處理���,允許將未加密的惡意命令傳遞到鎖���。這些長度小于16字節(jié)的惡意命令將由鎖處理,就像它們是加密通信一樣���。攻擊者可以進一步利用這一點來破壞鎖的完整性��。
CVE-2023-7017
如果通過藍牙低功耗服務傳遞到鎖�,Kontrol Lux鎖固件更新機制不會驗證或驗證固件更新���?���?梢韵蜴i發(fā)送質(zhì)詢請求以及準備更新的命令����,而不是解鎖請求��。這使得藍牙范圍內(nèi)的攻擊者可以將任意惡意固件傳遞給鎖��,從而損害其完整性。
CVE-2023-6960
TTLock應用程序支持創(chuàng)建虛擬鑰匙和設置��。這些虛擬鑰匙旨在通過TTLock應用程序分發(fā)給其他人��,用于解鎖和鎖定鎖�。它們也可以設置為僅在特定時間段內(nèi)有效。這些虛擬鑰匙的刪除僅發(fā)生在TTLock應用程序的客戶端����,相應的鑰匙信息保留在關聯(lián)的鎖中。如果攻擊者獲得這些虛擬鑰匙之一���,他們就可以在其預期刪除或失效后利用它來解鎖鎖�。
影響及后果
這些漏洞允許攻擊者通過物理�、相鄰或藍牙連接接近鎖訪問各種功能,從而在受害者不知情或不進行交互的情況下破壞鎖的完整性�����。這導致鎖功能形同虛設���。
受影響的版本:Kontrol Lux鎖����,固件版本6.5.x至6.5.07;網(wǎng)關G2,固件版本6.0.0�;TTLock應用程序,版本6.4.5
這些漏洞沒有軟件解決方案�,只有潛在的緩解方法。通過使用Sciener固件禁用與鎖的藍牙功能相關的各種功能����,可以防止多種攻擊。然而����,由于鎖的設計目的是與TTLock應用程序一起使用,因此對于大多數(shù)用戶來說這可能不是一個實用的解決方案�。
參考資源
1、https://kb.cert.org/vuls/id/949046
2��、https://www.securityweek.com/unpatched-sceiner-smart-lock-vulnerabilities-allow-hackers-to-open-doors/
3�、https://alephsecurity.com/2024/02/20/kontrol-lux-lock-1/
4、https://alephsecurity.com/2024/02/20/kontrol-lux-lock-2/
來源:網(wǎng)空閑話plus
在線咨詢
在線咨詢
0371-63319761