કોસોરી સ્માર્ટ એર ફ્રાયરમાં રીમોટ કોડ એક્ઝેક્યુશન નબળાઈઓ

સિસ્કો ટેલોસને તાજેતરમાં કોસોરી સ્માર્ટ એર ફ્રાયરમાં બે કોડ એક્ઝેક્યુશન નબળાઈઓ મળી.

કોસોરી સ્માર્ટ એર ફ્રાયર એ એક WiFi- સક્ષમ રસોઈ માટે વપરાતું ઉપકરણ છે જે વિવિધ પદ્ધતિઓ અને સેટિંગ્સથી ખોરાકને રાંધે છે. વપરાશકર્તાઓ ડિવાઇસની Wi-Fi સુવિધાઓનો ઉપયોગ રસોઈ શરૂ કરવા અને બંધ કરવા, રેસીપી માર્ગદર્શિકાઓ શોધવા અને રસોઈની સ્થિતિને મોનિટર કરવા માટે પણ કરતા હોય છે.

TALOS-2020-1216 (CVE-2020-28592) અને TALOS-2020-1217 (CVE-2020-28593) એ રીમોટ કોડ એક્ઝેક્યુશન નબળાઈઓ છે જે કોઈ હુમલાખોરને ઉપકરણમાં દૂરસ્થ કોડ ઇન્જેક્શન કરવાની મંજૂરી આપી શકે છે. આ અનુમાનિત રૂપે સામેવાળાનું તાપમાન, રાંધવાના સમય અને એર ફ્રાયર પરની સેટિંગ્સમાં ફેરફાર કરવાની મંજૂરી આપી શકે છે અથવા વપરાશકર્તાની જાણ બહાર તેને પ્રારંભ કરી શકે છે. આમાંની કેટલીક નબળાઈઓ પર કામ કરવા માટે સામેવકળાની એર ફ્રાયરની ફિઝિકલ એક્સેસ હોવી આવશ્યક છે.

કોઈ હુમલાખોર એક અનન્ય JSON ઓબ્જેક્ટ ધરાવતા ડિવાઇસને વિશિષ્ટ ક્રાફ્ટ કરેલા પેકેટ મોકલીને આ નબળાઈઓનો ઉપયોગ કરી શકે છે, જે તેમને મનસ્વી કોડ ચલાવવા દેશે.

સિસ્કોની નબળાઈ જાહેર કરવાની નીતિના પાલન અનુસાર, કોસોરી વતી કોઈ સત્તાવાર ફિક્સ ઉપલબ્ધ ન હોવા છતાં સિસ્કો ટેલોઝે આ નબળાઈઓ જાહેર કરી છે. નીતિમાં દર્શાવેલ પ્રમાણે 90-દિવસના સમયગાળા દરમિયાન કોરોસીએ યોગ્ય પ્રતિસાદ આપ્યો ન હતો.

ટેલોઝે પરીક્ષણ કર્યું છે અને પુષ્ટિ આપી છે કે કોસોરી સ્માર્ટ 5.8-ક્વાર્ટ એર ફ્રાયર સીએસ-158,એએફ વર્ઝન 1.1.0 આ નબળાઈઓ દ્વારા શોષણ(Exploit) કરી શકે છે.

SNORTⓇ નિયમ આ નબળાઈઓ વિરુદ્ધ શોષણના પ્રયાસોને શોધી કાઢશે: 56729. અતિરિક્ત નિયમો ભવિષ્યમાં પ્રકાશિત થઈ શકે છે અને વર્તમાન નિયમો ફેરફારને આધીન છે, વધારાની નબળાઈ માહિતી આવવાની બાકી છે. અત્યારની નિયમની માહિતી માટે, ફાયરપાવર મેનેજમેન્ટ સેન્ટર અથવા કંપનીની વેબ Snort.org નો સંદર્ભ લેવા જણાવ્યું હતું.

સાભાર : જોન મુનશોવ (ટેલોસ  ઈંટેલીઝન્સ બ્લોગ)