Logitech corrige plusieurs vulnérabilités dans le système de contrôle domotique Harmony Hub

Des chercheurs de FireEye ont découvert plusieurs vulnérabilités dans le système de contrôle domotique Harmony Hub de Logitech. Ces vulnérabilités pourraient permettre à un attaquant de  prendre le contrôle des périphériques connectés au réseau local et de rebondir sur les actifs et systèmes intelligents intégrés aux locaux.

Les experts ont découvert quatre types de vulnérabilités qui peuvent être combinées pour obtenir un contrôle total du périphérique via SSH.

Ces vulnérabilités sont liées principalement aux défaillances suivantes :

  • Vulnérabilité du processus de mise à jour du firmware, permettant à un attaquent de délivrer des mises à jour malveillantes ;
  • Vulnérabilité du service Dropbear SSH utilisé par le firmware ;
  • Présence de détails de débogage dans l'image du micrologiciel ;
  • Absence de mot de passe utilisateur root configuré sur le concentrateur.

Logitech a précisé que les produits concernés par ces vulnérabilités sont les suivants: Harmony Elite, Home Hub, Ultimate Hub, Home Control, Pro, Smart Control, Companion, Smart Keyboard, Ultimate, Ultimate Home et Harmony Hub.

Logitech a corrigé lesdites vulnérabilités avec la sortie de la version 4.15.96 du firmware le 10 avril 2018.