Un certain nombre de failles de sécurité ont été découvertes dans un composant réseau des détecteurs de métaux Garrett qui pourraient permettre à des attaquants distants de contourner les exigences d’authentification, de falsifier les configurations des détecteurs de métaux et même d’exécuter du code arbitraire sur les appareils.

« Un attaquant pourrait manipuler ce module pour surveiller à distance les statistiques sur le détecteur de métaux, par exemple si l’alarme a été déclenchée ou combien de visiteurs ont traversé », Cisco Talos c’est noté dans une divulgation publiée la semaine dernière. « Ils pourraient également apporter des modifications à la configuration, telles que la modification du niveau de sensibilité d’un appareil, ce qui pose potentiellement un risque de sécurité pour les utilisateurs qui comptent sur ces détecteurs de métaux. »

Le chercheur en sécurité de Talos, Matt Wiseman, a été crédité d’avoir découvert et signalé ces vulnérabilités le 17 août 2021. Des correctifs ont été publiés par le fournisseur le 13 décembre 2021.

Les défauts résident dans Garrett Module iC, qui permet aux utilisateurs de communiquer avec des détecteurs de métaux tels que Garrett PD 6500i ou Garrett MZ 6100 à l’aide d’un ordinateur via le réseau, avec ou sans fil. Il permet aux clients de contrôler et de surveiller les appareils à distance en temps réel.

La liste des vulnérabilités de sécurité est ci-dessous –

L’exploitation réussie des failles susmentionnées dans iC Module CMA version 5.0 pourrait permettre à un attaquant de détourner la session d’un utilisateur authentifié, de lire, d’écrire ou de supprimer des fichiers arbitraires sur l’appareil, et pire encore, de conduire à l’exécution de code à distance.

Compte tenu de la gravité des vulnérabilités de sécurité, il est fortement recommandé aux utilisateurs de mettre à jour la dernière version du micrologiciel dès que possible.