Александр Пономарёв

Текст

Исследователь кибербезопасности из компании EatonWorks обнаружил уязвимость в системе SmartTub для дистанционного управления гидромассажными ваннами компании Jacuzzi

Система SmartTub позволяет регулировать температуру в гидромассажных ваннах бренда Jacuzzi, а также менять режимы фильтрации и уровень воды. Во время авторизации в SmartTub на экране загрузки на мгновение появляется панель администратора, что вызвало у хакера идею скачать JS-файл и изменить в нем несколько строк кода.

Одностраничное приложение (SPA), созданное с использованием React, проверяет, является ли пользователь администратором, а если это не так, его перенаправляют на проверку isAdmin. Логин работает, отправляя имя пользователя и пароль на Auth0 — в случае успеха возвращаются токены доступа и идентификатора.

Затем токен доступа отправляется в конечную точку Auth0 /userinfo, выдавая в ответ информацию со списком ролей. Ответ HTTP можно перехватить для добавления отсутствующей роли администратора и получить доступ к панели.

Злоумышленник может удаленно включать в джакузи нагрев воды до максимальной температуры или изменить циклы фильтрации. Кроме того, уязвимость дает хакерам доступ к личным данным всех пользователей, включая их имена, фамилии и адреса электронной почты. Уязвимость устранили в текущем месяце.

Число вредоносных элементов в открытом коде выросло к июню на порядок:

Использованные источники: