bencede
New member
Innotec veya Novelan Alpha ısı pompasını bir Luxtronic kontrol cihazıyla ağ üzerinden bağlayan ve aniden tropikal koşullarla karşılaşan veya kabinde artık çalışmayan bir ısı pompası bulan herkes bir saldırının kurbanı olabilir: root şifresi cihaz yazılımında kodlanmıştır ve dahası yalnızca zayıf bir şekilde korunuyor. Bu, kötü niyetli aktörlerin … root Giriş yapın ve hatta kodunuzu bu haklarla çalıştırın.
Duyuru
Keşif, güvenlik açığını Github'da Jaarden tanıtıcısıyla açıklıyor. Ürün yazılımı dosyasında 3DES şifreli parolaya sahip bir gölge dosya buldu. Edinilen bilgiye göre bu şifre beş saniyede çözüldü ve root şifresi düz metin olarak ortaya çıktı eschi. Isı pompası bir SSH hizmeti çalıştırdığından bilgisayar araştırmacısı bunu kullanarak oturum açabildi. Bu nedenle çekirdek bilgisi, Linux çekirdeği 2.6.33.20'nin ARMv5 işlemci mimarisi için derlendiğini gösterir.
Alpha-Innotec güvenlikle ilgili hataları düzeltir
Alpha Innotec ve Novelan'ın arkasındaki OEM olan AIT, temasa geçildikten sonra geçen yılın ortalarında aradaki farkı göstermek için toplantı yapmakla ilgilendi. Üretici daha sonra Aralık ayı başına kadar etkilenen cihazlar için hata düzeltmeli ürün yazılımı üzerinde çalıştı. 31 Ocak'ta AIT ve Jaarden, güvenlik açığını koordineli bir şekilde kamuoyuna duyurdular ve CVE-2024-22894 CVE girişini aldılar. CVSS değeri ve standartlaştırılmış risk değerlendirmesi henüz mevcut değildir.
Alpha Innotec ve Novelan ısı pompalarının Luxtronic kontrolörleri, 2.88.3, 3.89.0 ve 4.81.3 veya üzeri donanım yazılımı sürümleriyle artık savunmasız değildir. Bu markalara ait ısı pompasını elektrik şebekesine bağlayan herkes, üreticiden güncellenen ürün yazılımını indirip yüklemelidir, ancak bunu yapma riski kendilerine aittir. Gerekirse şirketin desteği, garantiyi korurken belirli bir güncelleme konusunda yardımcı olacaktır.
Jaarden, SSH durumu ve savunmasız sürümlerle eşleşen parmak izleri bulunan 47 ısı pompasını açık bir şekilde çevrimiçi bulmak için Shodan arama motorunu kullandığını yazıyor. Görünüşe göre bazı insanlar ısı pompalarını herhangi bir ek koruma olmadan çalıştırıyorlar. Erişim en azından Fritzbox'ların WireGuard'la sunduğu gibi bir VPN ile sınırlı olmalıdır.
(Bilmiyorum)
Haberin Sonu
Duyuru
Keşif, güvenlik açığını Github'da Jaarden tanıtıcısıyla açıklıyor. Ürün yazılımı dosyasında 3DES şifreli parolaya sahip bir gölge dosya buldu. Edinilen bilgiye göre bu şifre beş saniyede çözüldü ve root şifresi düz metin olarak ortaya çıktı eschi. Isı pompası bir SSH hizmeti çalıştırdığından bilgisayar araştırmacısı bunu kullanarak oturum açabildi. Bu nedenle çekirdek bilgisi, Linux çekirdeği 2.6.33.20'nin ARMv5 işlemci mimarisi için derlendiğini gösterir.
Alpha-Innotec güvenlikle ilgili hataları düzeltir
Alpha Innotec ve Novelan'ın arkasındaki OEM olan AIT, temasa geçildikten sonra geçen yılın ortalarında aradaki farkı göstermek için toplantı yapmakla ilgilendi. Üretici daha sonra Aralık ayı başına kadar etkilenen cihazlar için hata düzeltmeli ürün yazılımı üzerinde çalıştı. 31 Ocak'ta AIT ve Jaarden, güvenlik açığını koordineli bir şekilde kamuoyuna duyurdular ve CVE-2024-22894 CVE girişini aldılar. CVSS değeri ve standartlaştırılmış risk değerlendirmesi henüz mevcut değildir.
Alpha Innotec ve Novelan ısı pompalarının Luxtronic kontrolörleri, 2.88.3, 3.89.0 ve 4.81.3 veya üzeri donanım yazılımı sürümleriyle artık savunmasız değildir. Bu markalara ait ısı pompasını elektrik şebekesine bağlayan herkes, üreticiden güncellenen ürün yazılımını indirip yüklemelidir, ancak bunu yapma riski kendilerine aittir. Gerekirse şirketin desteği, garantiyi korurken belirli bir güncelleme konusunda yardımcı olacaktır.
Jaarden, SSH durumu ve savunmasız sürümlerle eşleşen parmak izleri bulunan 47 ısı pompasını açık bir şekilde çevrimiçi bulmak için Shodan arama motorunu kullandığını yazıyor. Görünüşe göre bazı insanlar ısı pompalarını herhangi bir ek koruma olmadan çalıştırıyorlar. Erişim en azından Fritzbox'ların WireGuard'la sunduğu gibi bir VPN ile sınırlı olmalıdır.
(Bilmiyorum)
Haberin Sonu