Security Advisory: Domotica Labs – IKON SERVER (CVE-2023-24253)

L’Offensive Security Team di Swascan ha identificato una vulnerabilità di tipo SQL Injection (unauthenticated) con una severity pari a 7.5 (High) sul prodotto dell’azienda Domotica Labs, IKON SERVER ver. 2.8.6

Domotica Labs CVE-2023-24253

Domotica Labs è un’azienda italiana specializzata nello sviluppo di soluzioni di supervisione e controllo, apparati IOT e applicazioni cloud per la gestione di edifici ed impianti intelligenti.

Sempre parte del portfolio aziendale è la produzione di dispositivi embedded, firmware, app e soluzioni cloud in ambito internet of things e industria 4.0.

Azienda molto attenta e sensibile alle problematiche di sicurezza e la ringraziamo per la collaborazione durante la fase di responsible disclosure.

Descrizione del prodotto vulnerabile

IKON SERVER è un web server di supervisione in grado di interagire con numerose tecnologie sia standard sia proprietarie, per offrire un unico ambiente di gestione per domotica, impianti tecnologici e termotecnici, sicurezza e multimedialità.

Technical summary

L’Offensive Security Team di Swascan ha rilevato alcune importanti vulnerabilità su: iKON SERVER ver. 2.8.6

Vulnerability CVSSv3.1 CVSSv3.1 Base Score
SQL Injection (unauthenticated) 7.5 High AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 

Una SQL injection è un tipo di attacco informatico in cui un attaccante inserisce codice SQL maligno in una query, al fine di manipolare il database per acquisire informazioni riservate o per causare danni.Questo tipo di attacco sfrutta vulnerabilità nell’architettura delle applicazioni web che utilizzano query SQL per interagire con i database.

Terminato l’iter di responsible vulnerability disclosure, in pieno accordo con Domotica Labs, Swascan ha scelto di non divulgare i dettagli tecnici della vulnerabilità.

Considerazioni finali

Swascan ringrazia Domotica Labs per la loro collaborazione nella gestione del disclosure, per il loro impegno nel garantire la massima resilienza di prodotti e soluzioni e per grande professionalità dimostrata durante tutte le fasi del processo.

Remediation

Si consiglia di aggiornare all’ultima versione disponibile.

Riferimenti

https://www.owasp.org/index.php/SQL_Injection

https://cwe.mitre.org/data/definitions/89.html

https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.md

https://owasp.org/Top10/A03_2021-Injection/

https://www.domoticalabs.com/article/come-aggiornare-ikon-server

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-24253

Disclosure Timeline

  • 13-04-2022: Vulnerabilities discovered
  • 19-04-2022: Vendor contacted by email (1st time, responded 21/04/2022)
  • 11-05-2022: Vendor patched
  • 16-01-2023: Swascan disclosed
Phobos Ransomware: Analisi
Swascan Academy lancia il nuovo corso OSINT & Social Engineering!

Pronto intervento Cyber Swascan

Contattaci per un supporto immediato

Il sottoscritto, in qualità di interessato DICHIARA di aver letto e compreso il contenuto della privacy policy ai sensi dell’articolo 13, GDPR. ACCONSENTE al trattamento dei Dati in relazione all’invio da parte del Titolare di comunicazioni afferenti alla gestione di eventuali misure precontrattuali, preordinate alla stipulazione e/o esecuzione del contratto con il Cliente nonché all'adempimento dei relativi obblighi.
Il consenso prestato potrà essere revocato in qualsiasi momento contattando il Titolare ai recapiti presenti nella citata privacy policy.