SOTTO ATTACCO?
POSSIAMO AIUTARTI

Emergency contact

Security Advisory: Domotica Labs – IKON SERVER (CVE-2023-24253)

L’Offensive Security Team di Tinexta Cyber ha identificato una vulnerabilità di tipo SQL Injection (unauthenticated) con una severity pari a 7.5 (High) sul prodotto dell’azienda Domotica Labs, IKON SERVER ver. 2.8.6

Domotica Labs CVE-2023-24253

Domotica Labs è un’azienda italiana specializzata nello sviluppo di soluzioni di supervisione e controllo, apparati IOT e applicazioni cloud per la gestione di edifici ed impianti intelligenti.

Sempre parte del portfolio aziendale è la produzione di dispositivi embedded, firmware, app e soluzioni cloud in ambito internet of things e industria 4.0.

Azienda molto attenta e sensibile alle problematiche di sicurezza e la ringraziamo per la collaborazione durante la fase di responsible disclosure.

Descrizione del prodotto vulnerabile

IKON SERVER è un web server di supervisione in grado di interagire con numerose tecnologie sia standard sia proprietarie, per offrire un unico ambiente di gestione per domotica, impianti tecnologici e termotecnici, sicurezza e multimedialità.

Technical summary

L’Offensive Security Team di Tinexta Cyber ha rilevato alcune importanti vulnerabilità su: iKON SERVER ver. 2.8.6

Vulnerability CVSSv3.1 CVSSv3.1 Base Score
SQL Injection (unauthenticated) 7.5 High AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 

Una SQL injection è un tipo di attacco informatico in cui un attaccante inserisce codice SQL maligno in una query, al fine di manipolare il database per acquisire informazioni riservate o per causare danni.Questo tipo di attacco sfrutta vulnerabilità nell’architettura delle applicazioni web che utilizzano query SQL per interagire con i database.

Terminato l’iter di responsible vulnerability disclosure, in pieno accordo con Domotica Labs, Tinexta Cyber ha scelto di non divulgare i dettagli tecnici della vulnerabilità.

Considerazioni finali

Tinexta Cyber ringrazia Domotica Labs per la loro collaborazione nella gestione del disclosure, per il loro impegno nel garantire la massima resilienza di prodotti e soluzioni e per grande professionalità dimostrata durante tutte le fasi del processo.

Remediation

Si consiglia di aggiornare all’ultima versione disponibile.

Riferimenti

https://www.owasp.org/index.php/SQL_Injection

https://cwe.mitre.org/data/definitions/89.html

https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.md

https://owasp.org/Top10/A03_2021-Injection

https://www.domoticalabs.com/article/come-aggiornare-ikon-server

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-24253

Disclosure Timeline

  • 13-04-2022: Vulnerabilities discovered
  • 19-04-2022: Vendor contacted by email (1st time, responded 21/04/2022)
  • 11-05-2022: Vendor patched
  • 16-01-2023: Tinexta Cyber disclosed

Articoli correlati

TINEXTA CYBER S.P.A.
Società soggetta alla direzione e coordinamento di Tinexta S.p.A.

Piazzale Flaminio, 1/B — 00196 Roma

REA RM–1626691 | P.IVA/C.F. 15971011000 | Cap.Soc. €1.000.000

[email protected]
[email protected]
Linkedin
Privacy & Cookie Policy
Tel: +39 02 6666 1442

Codice etico e Modello 231
Codice etico gruppo Tinexta
Modello organizzativo 231

Organismo di Vigilanza
[email protected]

Certificato ISO 9001
Politica per la qualità

Certificato ISO/IEC 27001
Politica sulla sicurezza delle informazioni

Tinexta Cyber sostiene

Fondazione Città della Speranza Onlus

Tinexta Cyber è fornitore ufficiale di Ducati

Cyber Incident Emergency Contact

Contact us for immediate support

Abilita JavaScript nel browser per completare questo modulo.
Accettazione GDPR