Fortress S03 Wi-Fi Ev Təhlükəsizlik Sistemində zərərli bir şəxs tərəfindən qurbanın xəbəri olmadan sistem davranışını dəyişdirmək məqsədi ilə icazəsiz giriş əldə etmək üçün sui-istifadə oluna biləcək yeni zəifliklər aşkar edilmişdir.
CVE-2021-39276 (CVSS balı: 5.3) və CVE-2021-39277 (CVSS balı: 5.7) identifikatorları altında izlənilən iki problem, kiber təhlükəsizlik firması Rapid7 tərəfindən 2021-ci ilin may ayında 60 gün müddətində aşkar edilmiş və zəiflikləri düzəltmək üçün bildirilmişdir.
Fortress S03 Wi-Fi Ev Təhlükəsizlik Sistemi, istifadəçilərə Wi-Fi və RFID texnologiyasından istifadə edərək açarsız giriş üçün evlərini və kiçik müəssisələrini oğurluqdan, yanğınlardan, qaz sızmalarından və su sızmalarından qorumağa imkan verən DIY (do-it-yourself) siqnalizasiya sistemidir. Veb saytına görə, şirkətin təhlükəsizlik və nəzarət sistemlərindən “minlərlə müştəri” istifadə edir.
Zəiflikləri “istismarı son dərəcə asan” olaraq adlandıran Rapid7 tədqiqatçıları, CVE-2021-39276-nın qurbanın e-poçt ünvanı olan bir təcavüzkarın API-ni sorğulamasına və cihazın Beynəlxalq Mobil Avadanlıq Kimlik (IMEI) nömrəsini sızdırmağa imkan verən təsdiqlənməmiş bir API girişi ilə əlaqəli olduğunu bildirdi. IMEI nömrəsi və e-poçt ünvanı ilə silahlanmış düşmən, təsdiqlənməmiş POST tələbi ilə siqnalizasiya sistemini söndürmək kimi bir çox icazəsiz dəyişikliklər edə bilər.
