Smart Home : Anker corrige plusieurs failles dans son boitier Eufy Homebase
La base Eufy Homebase 2 était vulnérable à trois failles de sécurité jugées critiques, désormais corrigées, mais qui pouvait permettre à un attaquant d'exécuter du code à distance (mais pas seulement !). Faisons le point.
Par l'intermédiaire de sa marque Eufy, Anker propose des appareils connectés liés à la sécurité, notamment des caméras sans-fil, des capteurs, des sonnettes connectées, etc... Lorsque l'on installe ces appareils à la maison, il faut installer une base qui va notamment permettre de gérer les appareils et de stocker les enregistrements vidéo : il s'agit de la Homebase. C'est en quelque sorte une passerelle pour les différents appareils Eufy. D'ailleurs, Eufy propose différents kits avec la base et des caméras, comme les kit eufyCam 2C et eufyCam 2 Pro.
La Homebase se connecte au cloud pour fournir des services qui améliorent les fonctionnalités des produits Eufy, et cela donne aussi un accès à distance à ses appareils via l'application mobile Eufy Security. Voilà pour la présentation.
Il s'avère que des chercheurs en sécurité de Cisco Talos ont découvert trois failles de sécurité dans la Homebase 2. En exploitant ces vulnérabilités, un attaquant peut exécuter du code à distance sur le boîtier, mais également interrompre son fonctionnement et effectuer une intrusion dans la vie privée de la victime en accédant aux flux vidéo.
Ces trois vulnérabilités sont identifiées avec les références suivantes :
- CVE-2022-21806 - Score CVSSv3 de 10 / 10 - Exécution de code à distance
- CVE-2022-26073 - Score CVSSv3 de 7.4 / 10 - Déni de service en faisant redémarrer l'appareil
- CVE-2022-25989 - Score CVSSv3 de 7.1 / 10 - Bypass de l'authentification grâce à un paquet DHCP spécifique, ce qui permet à l'attaquant d'orienter le trafic de la Homebase vers un serveur externe
La bonne nouvelle, c'est que Anker a déjà mis en ligne des correctifs pour ces différentes failles de sécurité. En fait, les firmwares patchés sont disponibles depuis avril 2022 et il s'agit des versions 3.1.8.7 et 3.1.8.7h. Actuellement, la dernière version du firmware est la 3.1.9.0h et les mises à jour s'effectuent automatiquement donc normalement votre boîtier est déjà à jour.
Il vaut mieux le vérifier à partir de l'application Eufy Security, en sélectionnant la Homebase : Général > à propos de l'appareil > Version du système. Ici, il y a le bouton "Vérifier la mise à jour du micrologiciel". Cela est d'autant plus important que Cisco a fourni des détails techniques approfondis sur l'exploitation des failles, donc les cybercriminels sont en mesure d'en tirer profit pour lancer des attaques.