Un interphone intelligent fabriqué par la société chinoise Akuvox est affecté par plus d'une douzaine de vulnérabilités, dont des failles potentiellement graves pouvant être exploitées à des fins d'espionnage.

Les vulnérabilités ont été découvertes par des chercheurs de la société de cybersécurité industrielle et IoT Claroty. L'entreprise - ainsi que CISA et CERT/CC - a tenté de signaler les résultats au fournisseur au cours de l'année écoulée, mais sans succès, et les failles de sécurité n'ont toujours pas été corrigées.

Claroty a divulgué cette semaine les détails techniques de ses découvertes et CISA a également publié un avis.

L'entreprise de sécurité a commencé à analyser le produit E11 d'Akuvox après l'avoir trouvé dans un nouvel espace de bureau dans lequel elle a emménagé l'année dernière. Le E11 est présenté comme un portier vidéo conçu pour les maisons, les villas, les bureaux et les entrepôts. Il comprend des fonctions de diffusion vidéo en direct, de détection de mouvement et de contrôle d'accès. Selon la CISA, le produit concerné a été utilisé dans le monde entier.

La majorité de ces vulnérabilités ont été classées dans les catégories "critique" et "élevée". Un pirate peut exploiter ces failles pour exécuter du code à distance, activer à distance le microphone et la caméra d'un appareil et transmettre des données à un serveur distant, et obtenir des images et des données stockées capturées par l'appareil.

Un attaquant pourrait exploiter les vulnérabilités pour prendre le contrôle complet de l'appareil Akuvox ciblé, ce qui lui permettrait d'espionner les utilisateurs, d'ouvrir des portes et de prendre pied dans le réseau de l'organisation ciblée, selon Claroty.

Bien qu'il ne semble pas y avoir de correctifs, Claroty a déclaré que le risque peut être atténué en s'assurant que l'appareil n'est pas exposé à Internet, en l'isolant du reste du réseau de l'entreprise pour empêcher les mouvements latéraux, et en changeant le mot de passe par défaut pour l'interface web.