PSA是时候回收旧的WeMo智能插头了

Sternum的安全研究人员报告说，他们在WeMoSmartPlugMiniV2(来自9to5Mac)中发现了一个可利用的漏洞。该插件于2019年首次亮相，提供与AppleHomeKit、GoogleAssistant和Alexa的跨平台兼容性。

该漏洞会让精明的黑客通过使用名为PyWeMo的社区制作的Python应用程序绕过WeMo应用程序，从而获得对您的WeMo插头的远程命令。连接后，攻击者可以将设备名称更改为超过30个字符的名称，从而导致缓冲区溢出，从而允许攻击者远程注入命令。

当Sternum向贝尔金披露该漏洞时，贝尔金被告知，由于该设备已达到使用寿命，因此不会收到修复程序。Sternum随后将此问题报告给了非营利性网络安全组织TheMitreCorporation，后者随后创建了CVE-2023-27217。

如果您仍在使用这些智能插头之一，该团队建议避免将Wemo插头的UPnP端口暴露在互联网上，并对您的网络进行分段，以便它们与具有更敏感信息的Wi-Fi连接设备(例如您的计算机)隔离或电话。这些通常是尝试使用连接互联网的物联网设备的一般好步骤，尽管它并不是在所有情况下都是万无一失的解决方案：对于某些设备，您可能会失去其部分或全部功能。

研究人员认为，无需物理访问即可利用此漏洞。

虽然并非每个智能插头都对互联网开放，但Sternum提出了使用云控制远程利用此漏洞的可能性：

虽然这不在我们的研究范围内，但从我们收集到的信息来看，该漏洞似乎可以通过云接口触发(也就是说，无需直接连接到设备)。

这进一步凸显了上述步骤的必要性，因为WeMo云基础设施可能被用作潜在的攻击媒介。

WeMo目前的智能家居设备系列包括该产品的第四个版本，即带Thread的WeMo智能插头，它不需要互联网即可运行，所有Thread和Matter设备都是如此。然而，该插件仅与HomeKit兼容，贝尔金不会很快发布更新的兼容Matter的版本。

我们已就问题联系了Sternum和Belkin，但截至发稿时未收到回复。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！