Un chercheur en sécurité a publié un exploit de preuve de concept (PoC) pour les appareils Wyze Cam v3 qui ouvre un shell inversé et permet la prise de contrôle des appareils vulnérables.

Wyze Cam v3 est une caméra de sécurité intérieure/extérieure la plus vendue et peu coûteuse avec prise en charge de la vision nocturne couleur, du stockage sur carte SD, de la connectivité cloud pour le contrôle du smartphone, de l’étanchéité IP65, et plus encore.

Le chercheur en sécurité Peter Geissler (alias bl4sty) a récemment découvert deux failles dans le dernier firmware Wyze Cam v3 qui peuvent être chaînées pour l’exécution de code à distance sur des appareils vulnérables.

Le premier est un problème de contournement de l’authentification DTLS (Datagram Transport Layer Security) dans le démon « iCamera », permettant aux attaquants d’utiliser des PSK (Pre-Shared Keys) arbitraires lors de la prise de contact TLS pour contourner les mesures de sécurité.

La deuxième faille se manifeste après l’établissement de la session authentifiée DTLS lorsque le client envoie un objet JSON.

Le code iCamera qui analyse cet objet peut être exploité en raison d’une mauvaise gestion d’un tableau spécifique, conduisant à un débordement de tampon de pile où les données sont écrites dans des parties involontaires de la mémoire.

Les attaquants peuvent exploiter la deuxième vulnérabilité pour écraser la mémoire de la pile et, étant donné le manque de fonctionnalités de sécurité telles que les canaris de pile et l’exécution indépendante de la position dans le code iCamera, exécuter leur propre code sur la caméra.

L’exploit publié par Geissler sur GitHub enchaîne ces deux failles pour offrir aux attaquants un shell racine Linux interactif, transformant les caméras Wyze v3 vulnérables en portes dérobées persistantes et permettant aux attaquants de pivoter vers d’autres appareils du réseau.

L’exploit a été testé et confirmé pour fonctionner sur les versions de firmware 4.36.10.4054, 4.36.11.4679 et 4.36.11.5859.

Wyze libéré mise à jour du micrologiciel version 4.36.11.7071qui résout les problèmes identifiés, le 22 octobre 2023, il est donc recommandé aux utilisateurs d’appliquer la mise à jour de sécurité dès que possible.

Polémique sur les correctifs

Lors d’une discussion privée, Geissler a expliqué à BleepingComputer qu’il avait rendu son exploit accessible au public avant que la plupart des utilisateurs de Wyze puissent appliquer le correctif pour exprimer sa désapprobation des stratégies de correctifs de Wyze.

Plus précisément, le patch de Wyze est arrivé juste après la date limite d’inscription au récent événement Pwn2Own de Toronto.

La publication des correctifs juste après l’enregistrement a amené plusieurs équipes qui avaient jusqu’alors un exploit fonctionnel entre leurs mains à abandonner leurs efforts.

Wyze a déclaré au chercheur que le moment choisi était une coïncidence et qu’ils essayaient simplement de protéger leurs clients contre une menace dont ils avaient eu connaissance quelques jours auparavant.

« Je tiens à clarifier certaines choses ; nous n’étions pas au courant de ce problème depuis des années, il s’agit d’un problème dans la bibliothèque tierce que nous utilisons et nous avons reçu un rapport à ce sujet quelques jours seulement avant pwn2own et une fois que nous avons reçu le rapport dans notre programme bugbounty, nous avons corrigé le problème en 3 jours et l’avons rendu public », lit-on un email envoyé de Wyze.

Alors que Geissler admet qu’il est courant que les fournisseurs corrigent un bug qui brise les chaînes d’exploitation avant la concurrence, il accuse Wyze d’avoir choisi cet appareil spécifique pour éviter les relations publiques négatives de la concurrence, car le bug n’aurait pas été corrigé sur d’autres appareils.

BleepingComputer a contacté Wyze pour un commentaire sur les accusations de Geissler, mais n’a pas reçu de réponse pour le moment.

Cependant, Wyze a dit à un autre chercheur en sécurité qu’ils n’ont été informés du bug de Wyze Cam v3 que quelques jours avant la compétition et qu’ils recherchent actuellement s’il se trouve dans le firmware d’autres appareils.

À ce stade, le PoC est désormais public, il est donc probable qu’il soit exploité massivement à l’avenir, et il est recommandé aux utilisateurs de prendre des mesures immédiates pour corriger le bug.

S’ils ne peuvent pas appliquer la mise à jour du micrologiciel, les utilisateurs doivent isoler leurs caméras Wyze des réseaux qui desservent les appareils critiques.