Sternum的安全研究人员报告说,他们在WeMoSmartPlugMiniV2(来自9to5Mac)中发现了一个可利用的漏洞。该插件于2019年首次亮相,提供与AppleHomeKit、GoogleAssistant和Alexa的跨平台兼容性。
该漏洞会让精明的黑客通过使用名为PyWeMo的社区制作的Python应用程序绕过WeMo应用程序,从而获得对您的WeMo插头的远程命令。连接后,攻击者可以将设备名称更改为超过30个字符的名称,从而导致缓冲区溢出,从而允许攻击者远程注入命令。
当Sternum向贝尔金披露该漏洞时,贝尔金被告知,由于该设备已达到使用寿命,因此不会收到修复程序。Sternum随后将此问题报告给了非营利性网络安全组织TheMitreCorporation,后者随后创建了CVE-2023-27217。
如果您仍在使用这些智能插头之一,该团队建议避免将Wemo插头的UPnP端口暴露在互联网上,并对您的网络进行分段,以便它们与具有更敏感信息的Wi-Fi连接设备(例如您的计算机)隔离或电话。这些通常是尝试使用连接互联网的物联网设备的一般好步骤,尽管它并不是在所有情况下都是万无一失的解决方案:对于某些设备,您可能会失去其部分或全部功能。
研究人员认为,无需物理访问即可利用此漏洞。
虽然并非每个智能插头都对互联网开放,但Sternum提出了使用云控制远程利用此漏洞的可能性:
虽然这不在我们的研究范围内,但从我们收集到的信息来看,该漏洞似乎可以通过云接口触发(也就是说,无需直接连接到设备)。
这进一步凸显了上述步骤的必要性,因为WeMo云基础设施可能被用作潜在的攻击媒介。
WeMo目前的智能家居设备系列包括该产品的第四个版本,即带Thread的WeMo智能插头,它不需要互联网即可运行,所有Thread和Matter设备都是如此。然而,该插件仅与HomeKit兼容,贝尔金不会很快发布更新的兼容Matter的版本。
我们已就问题联系了Sternum和Belkin,但截至发稿时未收到回复。