Recentment, s’han descobert diverses vulnerabilitats en els altaveus sense fil Sonos One. La Zero Day Initiative va informar que aquests vulnerabilitats es poden aprofitar per accedir a informació sensible i executar codi remot. Tres equips de Qrious Secure, STAR Labs i DEVCORE van mostrar aquests defectes en el concurs de hacking Pwn2Own celebrat a Toronto l’any passat i van ser recompensats amb 105.000 dòlars.
Les vulnerabilitats es designen com CVE-2023-27352, CVE-2023-27355, CVE-2023-27353 i CVE-2023-27354. CVE-2023-27352 i CVE-2023-27355 tenen una puntuació de CVSS de 8,8 i permeten a un atacant adjacents a la xarxa executar codi arbitrari en la instal·lació afectada. CVE-2023-27353 i CVE-2023-27354 tenen una puntuació de CVSS de 6,5 i permeten a un atacant accedir a informació sensible.
CVE-2023-27352 es produeix per un problema en el processament dels comandaments de consulta de directoris SMB, i CVE-2023-27355 es produeix per un problema amb el processador MPEG-TS. Un atacant podria aprofitar aquests defectes per accedir al sistema com a usuari root i executar codi amb privilegis elevats.
Sonos va abordar aquests problemes amb el llançament de les versions de programari Sonos S2 i S1 15.1 i 11.7.1, respectivament. Per protegir-se d’aquests riscos, els usuaris haurien d’actualitzar a la darrera parche.
Source: Hackernews
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.