Gần đây, đã phát hiện ra nhiều lỗ hổng bảo mật trong các loa không dây Sonos One. Zero Day Initiative báo cáo rằng những lỗ hổng này có thể được khai thác để truy cập vào các thông tin quan trọng và thực thi mã từ xa. Ba đội từ Qrious Secure, STAR Labs và DEVCORE đã trình bày những lỗ hổng này tại cuộc thi Pwn2Own hacking diễn ra tại Toronto năm ngoái và được trao thưởng 105.000 đô la.
Các lỗ hổng được đánh dấu là CVE-2023-27352, CVE-2023-27355, CVE-2023-27353 và CVE-2023-27354. CVE-2023-27352 và CVE-2023-27355 có điểm CVSS là 8.8 và cho phép những tấn công gần mạng thực hiện mã bất kỳ trên cài đặt bị ảnh hưởng. CVE-2023-27353 và CVE-2023-27354 có điểm CVSS là 6.5 và cho phép những tấn công truy cập vào các thông tin quan trọng.
CVE-2023-27352 được gây ra bởi vấn đề khi xử lý các lệnh truy vấn thư mục SMB, và CVE-2023-27355 được gây ra bởi vấn đề với bộ phân tích MPEG-TS. Một tấn công có thể sử dụng những lỗ hổng này để truy cập vào hệ thống như một người dùng root và thực thi mã với quyền cao.
Sonos đã giải quyết những vấn đề này bằng cách phát hành phiên bản phần mềm Sonos S2 và S1 phiên bản 15.1 và 11.7.1, tương ứng. Để bảo vệ chống lại những rủi ro này, người dùng nên cập nhật lên bản vá lỗi mới nhất.
Source: Hackernews
Để giảm thiểu các mối đe dọa tiềm năng này, quan trọng là thực hiện các biện pháp bảo mật mạng bổ sung với sự trợ giúp của đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn có thể tự kiểm tra bằng cách sử dụng check.website.