Недавно было обнаружено несколько уязвимостей безопасности в беспроводных колонках Sonos One. Инициатива Zero Day сообщила, что эти уязвимости могут быть использованы для получения доступа к конфиденциальной информации и выполнения удаленного кода. Три команды из Qrious Secure, STAR Labs и DEVCORE продемонстрировали эти уязвимости на конкурсе хакеров Pwn2Own, прошедшем в прошлом году в Торонто, и были вознаграждены 105 000 долларов. Уязвимости обозначены как CVE-2023-27352, CVE-2023-27355, CVE-2023-27353 и CVE-2023-27354. CVE-2023-27352 и CVE-2023-27355 имеют CVSS-рейтинг 8.8 и позволяют злоумышленникам, находящимся в сети, выполнять произвольный код на затронутом установке. CVE-2023-27353 и CVE-2023-27354 имеют CVSS-рейтинг 6.5 и позволяют злоумышленникам получить доступ к конфиденциальной информации. CVE-2023-27352 вызван проблемой при обработке команд запроса SMB-каталога, а CVE-2023-27355 – проблемой с парсером MPEG-TS. Злоумышленник может использовать эти уязвимости, чтобы получить доступ к системе как пользователь с правами root и выполнить код с повышенными привилегиями. Sonos решил эти проблемы выпуском версий программного обеспечения Sonos S2 и S1 15.1 и 11.7.1 соответственно. Чтобы защититься от этих рисков, пользователи должны обновиться до последнего патча.
Source: Hackernews
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.