Німецька компанія AGFEO є черговим виробником пристроїв «Інтернету речей» (IoT), що пропонує продукти з незахищеним web-інтерфейсом. Дослідники SEC Consult виявили в контролерах для «розумних будинків» ряд вразливостей, що дозволяють отримати неавторизований доступ до деяких сервісів, здійснити XSS-атаку, а також отримати вшиті ключі шифрування.

Прошивка AGFEO ES 5xx і 6xx має три сертифікати з прив'язаними закритими ключами, за допомогою яких зловмисники можуть отримати права адміністратора. Однак для успішного злому наявність привілеїв адміністратора зовсім необов'язково. Розробники створили web-сервіс для налагодження в ES 5xx і забули видалити його після надходження продукту в продаж. Згідно з повідомленням, сервіс «доступний через незвичайний порт» і працює з правами суперкористувача.

Крім того, є зручний скрипт для читання файлів, а значить, можна переглянути всі файли в операційній системі.

Конфігураційні порти також є відкритими (TCP 19002, 19004, 19006, 19009, 19010, 19080 і 19081) і надають зловмисникам можливість читати інформацію про пристрій і змінювати його конфігурацію. Оскільки імена користувачів і паролі зберігаються в БД SQLite, хакери можуть викрасти облікові дані всіх користувачів.

Виробник отримав повідомлення про уразливість в січні поточного року, проте поновлення вийшли тільки 30 червня.