Syrus 云设备中的数据泄露和任意远程代码执行 (CVE-2023-6248)
CVE编号
CVE-2023-6248利用情况
暂无补丁情况
N/A披露时间
2023-11-22漏洞描述
Syrus4 IoT 网关利用未加密的MQTT服务器下载和执行任意命令,允许未经身份验证的远程攻击者在连接到云服务的任何Syrus4设备上执行代码。MQTT服务器还泄露了每个连接设备的位置、视频和诊断数据。攻击者可以通过知道服务器的IP地址来连接并执行以下操作:获取设备连接的车辆位置数据、通过ECU模块发送CAN总线消息、通过安全防盗模块使车辆失去移动能力、通过连接的视频摄像头获取实时视频、向驾驶员发送音频消息。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://www.digitalcomtech.com/product/syrus-4g-iot-telematics-gateway/ |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 已更改
- 用户交互 无
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论