Kwetsbaarheden in Samsung IoT Hub maken toegang tot smart home mogelijk

Stay tuned, abonneer!

Onderzoekers van Cisco’s securitydivisie Talos hebben 20 kwetsbaarheden in de Samsung SmartThings Hub gevonden. Door de kwetsbaarheden kunnen kwaadwillenden bijvoorbeeld slimme sloten beheren en het huis van afstand monitor via ip-camera’s. Cisco lichtte Samsung hierover in, waarna er patches volgden.

Het softwareplatform SmartThings Hub wordt ingezet voor het besturen van verschillende huishoudelijke apparaten. Alle gevonden kwetsbaarheden bevinden zich dus in de gecentraliseerde controller, het onderdeel dat verbinding maakt met een reeks IoT-apparaten.  Daarbij kun je denken aan HVAC (Heating, Ventilation en Air Conditioning)-installaties en ip-camera’s. Dergelijke systemen kunnen gevoelige informatie bevatten, waardoor Cisco de kwetsbaarheden als vrij ernstig ziet.

Meerdere bugs

De SmartThings Hub kan via remote code execution (RCE) misbruikt worden. Hierbij beïnvloedt de aanvaller de ‘video core’ HTTP-server van de hub, om HTTP-verzoeken op het proces van een netwerk te injecteren. Eigenlijk bevindt dit lek zich in de communicatie tussen de hub en de servers. Aanvallers dienen wel bugs te misbruiken binnen de REST-request parser van het ‘video core’, dat het pad van een HTTP-verzoek wijzigt. Anderzijds bevindt er zich ook een bug in een camera-feature van video-core’s HTTP-server.

Er zijn tevens twee andere aanvalsmethodes, waarbij er vooraf authenticatie benodigd is. Een van deze kwetsbaarheden maakt RCE mogelijk, waardoor geautoriseerde aanvallers SQL-verzoeken kunnen uitvoeren op een database in het apparaat. Als dit lek alleen misbruikt wordt, dan kunnen ze de database aanpassen. In combinatie met andere gevonden kwetsbaarheden in de SmartThings Hub is echter willekeurige code in het netwerk uit te voeren.

Tot slot is er nog een denial of service-bug, die bestaat binnen het firmware update proces ZigBee. Dit wordt gebruikt door de ‘hubCore’ in de SmartThings Hub. De bug laat het hubCore-proces crashen indien een leeg bestand aangemaakt is. Daardoor kan informatie gelekt worden.

Update

Samsung heeft inmiddels fixes uitgerold die automatisch moeten worden uitgevoerd. De onderzoekers raden gebruikers wel aan om te controleren of de geüpdatete versie toegepast is, zodat ze zeker weten dat de apparaten niet kwetsbaar zijn.