Domotica Labs CVE-2023-24253
Domotica Labs è un’azienda italiana specializzata nello sviluppo di soluzioni di supervisione e controllo, apparati IOT e applicazioni cloud per la gestione di edifici ed impianti intelligenti.
Sempre parte del portfolio aziendale è la produzione di dispositivi embedded, firmware, app e soluzioni cloud in ambito internet of things e industria 4.0.
Azienda molto attenta e sensibile alle problematiche di sicurezza e la ringraziamo per la collaborazione durante la fase di responsible disclosure.
Descrizione del prodotto vulnerabile
IKON SERVER è un web server di supervisione in grado di interagire con numerose tecnologie sia standard sia proprietarie, per offrire un unico ambiente di gestione per domotica, impianti tecnologici e termotecnici, sicurezza e multimedialità.
Technical summary
L’Offensive Security Team di Tinexta Cyber ha rilevato alcune importanti vulnerabilità su: iKON SERVER ver. 2.8.6
Vulnerability | CVSSv3.1 | CVSSv3.1 Base Score |
SQL Injection (unauthenticated) | 7.5 High | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Una SQL injection è un tipo di attacco informatico in cui un attaccante inserisce codice SQL maligno in una query, al fine di manipolare il database per acquisire informazioni riservate o per causare danni.Questo tipo di attacco sfrutta vulnerabilità nell’architettura delle applicazioni web che utilizzano query SQL per interagire con i database.
Terminato l’iter di responsible vulnerability disclosure, in pieno accordo con Domotica Labs, Tinexta Cyber ha scelto di non divulgare i dettagli tecnici della vulnerabilità.
Considerazioni finali
Tinexta Cyber ringrazia Domotica Labs per la loro collaborazione nella gestione del disclosure, per il loro impegno nel garantire la massima resilienza di prodotti e soluzioni e per grande professionalità dimostrata durante tutte le fasi del processo.
Remediation
Si consiglia di aggiornare all’ultima versione disponibile.
Riferimenti
https://www.owasp.org/index.php/SQL_Injection
https://cwe.mitre.org/data/definitions/89.html
https://owasp.org/Top10/A03_2021-Injection
https://www.domoticalabs.com/article/come-aggiornare-ikon-server
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-24253
Disclosure Timeline
- 13-04-2022: Vulnerabilities discovered
- 19-04-2022: Vendor contacted by email (1st time, responded 21/04/2022)
- 11-05-2022: Vendor patched
- 16-01-2023: Tinexta Cyber disclosed