Twee kwetsbaarheden in een smart airfryer van fabrikant Cosori maken het mogelijk voor aanvallers om op afstand code op het apparaat uit te voeren en een beveiligingsupdate is niet voorhanden. Zo kan een aanvaller de temperatuur, kooktijden en instellingen aanpassen of de airfryer zonder medeweten van de gebruiker aanzetten.

De smart airfryer van Cosori maakt gebruik van wifi en is via een smartphone-app te bedienen. Zo is het mogelijk om op afstand de airfryer aan of uit te zetten en de bereiding van het voedsel te monitoren. Onderzoekers van Cisco ontdekten twee beveiligingslekken in het systeem waardoor een aanvaller die in de buurt van het apparaat is op afstand code kan injecteren.

De eerste kwetsbaarheid, CVE-2020-28592, betreft een heap-based buffer overflow die zich kan voordoen bij het configureren van het apparaat. Tijdens de configuratie fungeert de airfryer als een wifi access point waarmee verbinding moet worden gemaakt voordat de smartphone-app het apparaat bij de betreffende cloudservers kan registreren. Door het versturen van een speciaal geprepareerd JSON-object kan de airfryer crashen of wordt remote code execution mogelijk.

Het tweede beveiligingslek, CVE-2020-28593, betreft volgens Cisco een backdoor in de airfryer. Door het versturen van een speciaal geprepareerd pakket is het mogelijk om de Developer Mode in te schakelen en kan een aanvaller commando’s op het apparaat uitvoeren. De backdoor blijft aanwezig totdat de gebruiker het apparaat via de applicatie verwijdert of een fabrieksreset uitvoert.

Cisco waarschuwde Cosori op 21 december vorig jaar en gaf de fabrikant negentig dagen de tijd om een firmware-update te ontwikkelen. Die is nog altijd niet beschikbaar, waarop Cisco nu de details openbaar heeft gemaakt. Er zijn rules voor intrusion detection en prevention systeem (IDS/IPS) Snort verschenen die misbruik van de kwetsbaarheden herkennen en kunnen stoppen.

Source