Dispositivos da Internet das Coisas estão transformando a indústria de computadores fazendo os usuários/clientes pensarem que suas vidas seriam muito mais fáceis com máquinas inteligentes.
Existem, é claro, algumas boas razões para conectar determinados dispositivos à Internet. Por exemplo, ligar remotamente o seu ar condicionado alguns minutos antes de entrar na sua casa, em vez de deixá-lo ligado durante todo o dia.
Mas será as máquinas precisam ser conectadas?
Acredito que a resposta certa seja: Não. Um exemplo foi um bug registrado no site SECLISTS, que afeta máquinas de lavagem e desinfecção conectado à Internet da fabricante Miele.
O aparelho Miele Professional PG 8528, que é usado em estabelecimentos médicos para limpar e desinfetar adequadamente os instrumentos de laboratório e cirúrgicos, está sofrendo de uma vulnerabilidade no Web Server Directory Traversal.
Jens Regel da consultoria alemã Schneider & Wulf descobriu a falha (CVE-2017-7240) que permite que um invasor remoto não autenticado acesse diretórios que não são necessários para um servidor web.
Uma vez acessado, o invasor pode roubar informações confidenciais armazenadas no servidor e até mesmo inserir seu próprio código malicioso e dizer ao servidor web para executá-lo.
Regel também publicou o código de exploração de Prova de Conceito (PoC) para esta vulnerabilidade, o que significa que os hackers podem agora explorar a vulnerabilidade antes que o fornecedor emita um patch.
O exploit PoC é simples para qualquer um executar:
[GET /../../../../../../../../../../../../etc/shadow HTTP/1.1]
O pesquisador revelou a vulnerabilidade a Miele em novembro de 2016, mas por algum motivo a Miele não liberou nenhum patch de correção até o momento.
