cybersecurity

Gardyn IoT Hub

Forrás: cisa.gov 5 perc olvasás

Megosztás

Gardyn IoT Hub

Összefoglalót olvas. A teljes tartalom itt érhető el: cisa.gov.

Tekintse meg a CSAF összefoglalót A sérülékenységek sikeres kihasználása lehetővé teheti a hitelesítetlen felhasználók számára, hogy hozzáférjenek és irányítsák az IoT Hub által kezelt eszközöket. Az alábbi Gardyn IoT Hub verziók érintettek: Home Firmware, Studio Firmware, Cloud API <2.12.2026 (CVE-2026-13768, CVE-2026-55726, CVE-2026-54477) CVSS Gyártó Berendezés Sérülékenységek v3 10 Gardyn Gardyn IoT Hub Hard-kódolt hitelesítő adatok használata, érzékeny rendszerinformációk kiadása jogosulatlan irányítási kör számára, HTTP fejléc megfelelő semlegesítése a szkriptnyelvhez Háttér Kritikus Infrastruktúra Szekciók: Élelmiszer és Mezőgazdaság Országok/Területek: Egyesült Államok Vállalat központi helye: Egyesült Államok Sérülékenységek Kiterjesztés Minden + CVE-2026-13768 Gardyn eszközök egy privilegizált iothubowner kulcsot tesznek elérhetővé. E kulcs hozzáférése lehetővé teszi egy rosszindulatú felhasználó számára, hogy meghívja az IoTHub Registry Manager egy funkcióját, amely visszaadja az összes Gardyn Home Kit és Studio eszköz csatlakozási információját. E kulcs hozzáférése lehetővé teszi egy rosszindulatú felhasználó számára, hogy önkényes parancsokat hajtson végre egy adott csatlakoztatott eszközön, és lehetővé teheti a rosszindulatú felhasználó számára, hogy átváltson a felhasználó hálózatán lévő más eszközökre. Tekintse meg a CVE részleteit Érintett termékek Gardyn IoT Hub Gyártó: Gardyn Termék Verzió: Gardyn Home Firmware: <master.627, Gardyn Studio Firmware: <master.627, Gardyn Cloud API: <2.12.2026 Termék állapota: ismert_érintett Megoldások Védelem A Gardyn kijelenti, hogy az IoT Hub telepített infrastruktúrája frissítve lett a felsorolt sérülékenységek javítására. Védelem A Gardyn kéri, hogy a felhasználók győződjenek meg arról, hogy eszközeik internetkapcsolattal rendelkeznek a szükséges firmware-frissítések automatikus letöltése érdekében. A nem csatlakoztatott eszközök automatikusan frissülnek, amikor működő internetkapcsolattal vannak konfigurálva. A Gardyn azt is javasolja, hogy a felhasználók frissítsék mobilalkalmazásukat a legújabb verzióra. A Gardyn App és a Gardyn Home firmware aktuális verzióit a Gardyn App-on ellenőrizheti. Védelem További információ a Gardyn biztonságról itt található: https://mygardyn.com/security/ https://mygardyn.com/security/ Védelem További ügyfélszolgálat a Gardyn-tól érhető el: support@mygardyn.com mailto:support@mygardyn.com Kapcsolódó CWE: CWE-798 Hard-kódolt hitelesítő adatok használata Metrikák CVSS Verzió Alap Pontszám Alap Súlyosság Vektor String 3.1 10 KRITIKUS CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L 4.0 9.5 KRITIKUS CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:L CVE-2026-55726 Az Azure Blob Storage tároló, amelyet a Gardyn eszköznaplókhoz használnak, hitelesítés nélkül nyilvánosan elérhető. Egy rosszindulatú felhasználó hozzáférhet bármely naplófájlhoz, amely elérhető a blob tárolóban. Tekintse meg a CVE részleteit Érintett termékek Gardyn IoT Hub Gyártó: Gardyn Termék Verzió: Gardyn Home Firmware: <master.627, Gardyn Studio Firmware: <master.627, Gardyn Cloud API: <2.12.2026 Termék állapota: ismert_érintett Megoldások Védelem A Gardyn kijelenti, hogy az IoT Hub telepített infrastruktúrája frissítve lett a felsorolt sérülékenységek javítására. Védelem A Gardyn kéri, hogy a felhasználók győződjenek meg arról, hogy eszközeik internetkapcsolattal rendelkeznek a szükséges firmware-frissítések automatikus letöltése érdekében. A nem csatlakoztatott eszközök automatikusan frissülnek, amikor működő internetkapcsolattal vannak konfigurálva. A Gardyn azt is javasolja, hogy a felhasználók frissítsék mobilalkalmazásukat a legújabb verzióra. A Gardyn App és a Gardyn Home firmware aktuális verzióit a Gardyn App-on ellenőrizheti. Védelem További információ a Gardyn biztonságról itt található: https://mygardyn.com/security/ https://mygardyn.com/security/ Védelem További ügyfélszolgálat a Gardyn-tól érhető el: support@mygardyn.com mailto:support@mygardyn.com Kapcsolódó CWE: CWE-497 Érzékeny rendszerinformációk kiadása jogosulatlan irányítási kör számára Metrikák CVSS Verzió Alap Pontszám Alap Súlyosság Vektor String 3.1 5.3 KÖZEPES CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 4.0 6.9 KÖZEPES CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N CVE-2026-54477 Az admin panel hiányolja a standard biztonsági fejléceket, lehetővé téve a clickjacking és cross-site scripting támadásokat. Tekintse meg a CVE részleteit Érintett termékek Gardyn IoT Hub Gyártó: Gardyn Termék Verzió: Gardyn Home Firmware: <master.627, Gardyn Studio Firmware: <master.627, Gardyn Cloud API: <2.12.2026 Termék állapota: ismert_érintett Megoldások Védelem A Gardyn kijelenti, hogy az IoT Hub telepített infrastruktúrája frissítve lett a felsorolt sérülékenységek javítására. Védelem A Gardyn kéri, hogy a felhasználók győződjenek meg arról, hogy eszközeik internetkapcsolattal rendelkeznek a szükséges firmware-frissítések automatikus letöltése érdekében. A nem csatlakoztatott eszközök automatikusan frissülnek, amikor működő internetkapcsolattal vannak konfigurálva. A Gardyn azt is javasolja, hogy a felhasználók frissítsék mobilalkalmazásukat a legújabb verzióra. A Gardyn App és a Gardyn Home firmware aktuális verzióit a Gardyn App-on ellenőrizheti. Védelem További információ a Gardyn biztonságról itt található: https://mygardyn.com/security/ https://mygardyn.com/security/ Védelem További ügyfélszolgálat a Gardyn-tól érhető el: support@mygardyn.com mailto:support@mygardyn.com Kapcsolódó CWE: CWE-644 HTTP-fejlécek nem megfelelő semlegesítése a szkriptnyelvhez Metrikák CVSS Verzió Alap Pontszám Alap Súlyosság Vektor String 3.1 5.4 KÖZEPES CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N 4.0 5.1 KÖZEPES CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N Köszönetnyilvánítás Michael Groberman bejelentette ezeket a sérülékenységeket a CISA-nak Jogi nyilatkozat és felhasználási feltételek Ez a termék ezen értesítés (https://www.cisa.gov/notification) és ezen Adatvédelmi és Felhasználási politikának (https://www.cisa.gov/privacy-policy) alávetve érhető el. Ajánlott gyakorlatok A CISA arra ajánlja a felhasználókat, hogy tegyenek védelmi intézkedéseket a sérülékenységek kihasználásának kockázatának minimalizálására. Minimalizálja a hálózati kitettséget minden vezérlőrendszer eszköz és/vagy rendszer esetében, biztosítva, hogy azok ne legyenek elérhetők az interneten. Helyezze a vezérlőrendszer hálózatokat és távoli eszközöket tűzfal mögé, elkülönítve őket az üzleti hálózatoktól. Ha távoli hozzáférés szükséges, használjon biztonságosabb módszereket, például virtuális magánhálózatokat (VPN), figyelembe véve, hogy a VPN-eknek lehetnek sérülékenységeik, és frissíteni kell őket a legfrissebb elérhető verzióra. Tudomásul kell venni, hogy a VPN csak annyira biztonságos, mint a csatlakoztatott eszközök. A CISA emlékezteti a szervezetet, hogy végezzen megfelelő hatáselemzést és kockázatértékelést a védelmi intézkedések telepítése előtt. A CISA egy szekciót biztosít a vezérlőrendszerek biztonságának ajánlott gyakorlataival kapcsolatban a cisa.gov/ics weboldalon. Számos CISA termék, amely a kiber védelem legjobb gyakorlatait részletezi, elérhető olvasásra és letöltésre, beleértve az Ipari Vezérlőrendszerek Kiberbiztonságának Javítása Mélységi Védekezési Stratégiákkal címűt. A CISA arra ösztönzi a szervezeteket, hogy valósítsanak meg ajánlott kiberbiztonsági stratégiákat az ICS eszközök proaktív védelme érdekében. További védelmi iránymutatások és ajánlott gyakorlatok nyilvánosan elérhetők a cisa.gov/ics weboldalon a technikai információs dokumentumban, ICS-TIP-12-146-01B--Célzott Kiber Betörés Észlelési és Védelmi Stratégiák. Azok a szervezetek, amelyek gyanús rosszindulatú tevékenységet észlelnek, kövessék a meglévő belső eljárásokat, és jelentsék a megállapításokat a CISA-nak, hogy azok összeállíthatók és korrelálhatók legyenek más eseményekkel. Jelenleg nincs bejelentett nyilvános kihasználás, amely kifejezetten ezeket a sérülékenységeket célozná meg, a CISA-nak. Módosítási előzmények Kezdeti kiadás dátuma: 2026-07-02 Dátum Módosítási összefoglaló 2026-07-02 1 Kezdeti kiadás Jogi nyilatkozat és felhasználási feltételek

Kapcsolódó cikkek