Recientemente, se descubrieron varias vulnerabilidades de seguridad en los altavoces inalámbricos Sonos One. La Iniciativa Zero Day informó que estas vulnerabilidades podrían ser explotadas para obtener acceso a información sensible y ejecutar código remoto. Tres equipos de Qrious Secure, STAR Labs y DEVCORE mostraron estas vulnerabilidades en el concurso de hacking Pwn2Own celebrado en Toronto el año pasado y fueron recompensados con $105,000.
Las vulnerabilidades se designan como CVE-2023-27352, CVE-2023-27355, CVE-2023-27353 y CVE-2023-27354. CVE-2023-27352 y CVE-2023-27355 tienen una puntuación CVSS de 8.8 y permiten a los atacantes adyacentes a la red ejecutar código arbitrario en la instalación afectada. CVE-2023-27353 y CVE-2023-27354 tienen una puntuación CVSS de 6.5 y permiten a los atacantes acceder a información sensible.
CVE-2023-27352 se debe a un problema al procesar los comandos de consulta de directorio SMB, y CVE-2023-27355 se debe a un problema con el analizador MPEG-TS. Un atacante podría usar estas vulnerabilidades para obtener acceso al sistema como usuario root y ejecutar código con privilegios elevados.
Sonos abordó estos problemas con el lanzamiento de las versiones de software Sonos S2 y S1 15.1 y 11.7.1, respectivamente. Para protegerse de estos riesgos, los usuarios deben actualizar a la última parche.
Source: Hackernews
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.