OvrC物聯(lián)網(wǎng)云平臺存安全漏洞，黑客可趁機遠程攻擊執(zhí)行惡意代碼

【ITBEAR】近日，知名安全公司Claroty發(fā)布了一份關于物聯(lián)網(wǎng)設備安全的報告，揭示了海外廣受歡迎的物聯(lián)網(wǎng)設備云端管理平臺OvrC存在的多個嚴重安全漏洞。這些漏洞的發(fā)現(xiàn)引起了業(yè)界對物聯(lián)網(wǎng)設備安全性的廣泛關注。

據(jù)報告指出，黑客有可能利用這些漏洞，在物聯(lián)網(wǎng)設備上遠程執(zhí)行惡意代碼，對用戶的設備安全構成嚴重威脅。更為嚴重的是，根據(jù)CVSS風險評估標準，部分曝光的漏洞風險評分高達9.2，接近滿分的風險級別。

OvrC物聯(lián)網(wǎng)平臺，以其便捷的遠程配置管理、運行狀態(tài)監(jiān)控等服務功能，受到了廣大用戶的青睞。該平臺自2014年被自動化公司SnapOne收購以來，用戶規(guī)模持續(xù)擴大，至2020年已擁有約920萬臺設備，如今更是預計設備數(shù)量已突破1000萬臺。

然而，正是這樣一個用戶規(guī)模龐大的物聯(lián)網(wǎng)平臺，卻存在著嚴重的安全隱患。報告詳細列舉了相關漏洞，包括輸入驗證不足、不當?shù)脑L問控制、敏感信息明文傳輸、數(shù)據(jù)完整性驗證不足等問題。這些漏洞大多源于設備與云端接口的安全設計缺陷，使得黑客有機會繞過防火墻和網(wǎng)絡地址轉換（NAT）等安全機制，對平臺設備進行惡意攻擊。

其中，四個被評為高危的漏洞尤為引人關注。它們分別是：輸入驗證不足漏洞CVE-2023-28649、不當訪問控制漏洞CVE-2023-31241、數(shù)據(jù)完整性驗證不足漏洞CVE-2023-28386，以及關鍵功能缺乏認證漏洞CVE-2024-50381。這些漏洞的CVSS風險評分均處于9.1至9.2之間，顯示出極高的危險性。

研究人員進一步指出，黑客可能會利用這些漏洞的組合進行攻擊。例如，首先利用某個漏洞獲取受管設備列表，然后通過其他漏洞使設備進入“未聲明所有權”狀態(tài)，并最終實現(xiàn)遠程執(zhí)行代碼的目的。

值得慶幸的是，在研究人員報告這些問題后，OvrC平臺已經(jīng)積極采取行動進行修復。雖然部分問題直到最近才得到完全解決，但目前該平臺已經(jīng)修復了所有已知的安全漏洞。這一舉措無疑將有效提升用戶設備的安全性。