24/67 (IT) ประจำวันพุธที่ 17 มกราคม 2567
นักวิจัยจาก Bitdefender ได้เตือนถึงช่องโหว่ที่มีความรุนแรงสูงที่ส่งผลต่ออุปกรณ์ Bosch BCC100 Thermostat ที่หมายเลข CVE-2023-49722 (คะแนน CVSS: 8.3) โดยช่องโหว่ดังกล่าวได้มีการรายงานไปยังผู้ให้จำหน่ายเมื่อเดือนสิงหาคม 2023 และได้มีการแก้ไขจากผู้ให้จำหน่ายในเดือนพฤศจิกายน 2023 โดย Thermostat ประกอบไปด้วยไมโครคอนโทรลเลอร์จำนวนสองตัวที่ทำงานร่วมกันได้แก่ ชิป Hi-Flying HF-LPT230 ซึ่งมีหน้าที่ในการจัดการฟังก์ชัน Wi-Fi และชิป STMicroelectronics STM32F103 ทำหน้าที่เป็นหน่วยประมวลผลกลางของอุปกรณ์ โดยผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวเพื่อส่งคำสั่งที่เป็นอันตรายไปยังอุปกรณ์ Thermostat
ช่องโหว่ส่งผลกระทบต่อผลิตภัณฑ์ต่อไปนี้:
– Bosch BCC101 CVE-2023-49722 เวอร์ชัน: 4.13.20 – v4.13.33
– Bosch BCC102 CVE-2023-49722 เวอร์ชัน: 4.13.20 – v4.13.33
– Bosch BCC50 CVE-2023-49722 เวอร์ชัน: 4.13.20 – v4.13.33
โดยที่ผู้จำหน่ายได้แก้ไขช่องโหว่ด้วยการเปิดตัว WiFi firmware 4.13.33 ปิดพอร์ต 8899 และผู้ใช้งานตามบ้านควรตรวจสอบอุปกรณ์ IoT และควรแยกอุปกรณ์ออกจากเครือข่ายซึ่งสามารถทำได้โดยการตั้งค่าเครือข่ายเฉพาะสำหรับอุปกรณ์ IoT โดยเฉพาะ
แหล่งข่าว https://securityaffairs.com/157537/security/bosch-bcc100-thermostats-flaw.html
