Aanvallers maken actief misbruik van een kwetsbaarheid in videoconferentiecamera Meeting Owl Pro en whiteboardcamera Whiteboard Owl, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De camera's worden wereldwijd door bedrijven en organisaties, onder andere in Nederland, gebruikt voor videoconferencing.
Onderzoekers van modzero ontdekten verschillende kwetsbaarheden waardoor het mogelijk is om vertrouwelijke informatie van gebruikers te achterhalen of de camera's als rogue wireless gateway tot het bedrijfsnetwerk te gebruiken. De apparaten zijn namelijk door iedereen in de buurt via bluetooth als access point in te stellen.
De camera creëert hierbij een nieuw wifi-netwerk terwijl het tegelijkertijd met de al geconfigureerde wifi-verbinding verbonden blijft. De onderzoekers van modzero ontdekten dat de Meeting Owl gebruikmaakt van hardcoded credentials. Hiermee kan elke gebruiker in de buurt van het apparaat via bluetooth de access point-mode inschakelen en er zo een rogue wireless gateway tot het bedrijfsnetwerk van maken. Deze kwetsbaarheid wordt aangeduid als CVE-2022-31460.
Fabrikant Owl Labs werd in januari over de beveiligingslekken ingelicht. Het bedrijf liet weten dat alle problemen halverwege mei verholpen zouden zijn. Aangezien dat niet het geval was besloten de onderzoekers hun bevindingen op 31 mei openbaar te maken. Owl Labs kwam vervolgens op 3 en 6 juni met beveiligingsupdates voor zowel de camera als de Whiteboard Owl.
Updates worden alleen automatisch geïnstalleerd wanneer de camera 's nachts is aangesloten op het wifi-netwerk en stopcontact. In een verklaring stelde Owl Labs dat de kans dat klanten via de kwetsbaarheden zijn aangevallen klein is. Het CISA laat nu weten dat dit wel het geval is. De Amerikaanse overheidsinstantie houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren.
De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste toevoeging bevat de kwetsbaarheid in de Owl-camera's, alsmede 35 andere kwetsbaarheden. De andere beveiligingslekken zijn echter jaren oud. Amerikaanse overheidsinstanties moeten alle 36 kwetsbaarheden voor 22 juni hebben gepatcht.
Deze posting is gelocked. Reageren is niet meer mogelijk.