小米互聯(lián)應(yīng)用近日曝出嚴(yán)重安全漏洞（CVE-2024-45347），該漏洞CVSS評(píng)分高達(dá)9.6分，可能使數(shù)百萬(wàn)用戶面臨設(shè)備被未授權(quán)訪問(wèn)的風(fēng)險(xiǎn)。攻擊者可利用該漏洞繞過(guò)認(rèn)證機(jī)制，完全控制運(yùn)行受影響軟件的受害者設(shè)備。

漏洞概要

• 小米互聯(lián)應(yīng)用存在高危漏洞（CVE-2024-45347），攻擊者可繞過(guò)驗(yàn)證邏輯獲取設(shè)備未授權(quán)訪問(wèn)權(quán)限
• 漏洞源于互聯(lián)應(yīng)用協(xié)議缺陷，特別是認(rèn)證機(jī)制存在缺陷，可能導(dǎo)致整個(gè)系統(tǒng)被攻陷
• 受影響版本為小米互聯(lián)應(yīng)用3.1.895.10，用戶應(yīng)立即升級(jí)至已修復(fù)的3.1.921.10版本

認(rèn)證繞過(guò)漏洞分析

該漏洞源于應(yīng)用程序驗(yàn)證邏輯的根本性缺陷，惡意攻擊者可借此繞過(guò)認(rèn)證。根據(jù)小米安全公告，缺陷存在于互聯(lián)應(yīng)用協(xié)議中，具體涉及驗(yàn)證用戶訪問(wèn)權(quán)限的認(rèn)證機(jī)制。

這種繞過(guò)漏洞使攻擊者能夠規(guī)避正常安全檢查，未授權(quán)訪問(wèn)運(yùn)行受影響軟件的受害者設(shè)備。從技術(shù)角度看，攻擊者可能利用應(yīng)用程序通信協(xié)議或認(rèn)證握手過(guò)程中的弱點(diǎn)進(jìn)行攻擊。

9.6分的CVSS評(píng)分表明，成功利用該漏洞可能導(dǎo)致受影響系統(tǒng)完全淪陷，攻擊者可能訪問(wèn)敏感數(shù)據(jù)、安裝惡意軟件或維持對(duì)受控設(shè)備的持久訪問(wèn)。該漏洞由山東大學(xué)網(wǎng)絡(luò)空間安全學(xué)院的劉曉峰發(fā)現(xiàn)并報(bào)告給小米安全中心（MiSRC）。

受影響版本及安全更新

經(jīng)確認(rèn)，小米互聯(lián)應(yīng)用3.1.895.10版本存在該安全漏洞。使用該特定版本的用戶面臨直接風(fēng)險(xiǎn)，應(yīng)立即更新軟件。小米已發(fā)布修復(fù)版本3.1.921.10，解決了該漏洞并恢復(fù)了正常的驗(yàn)證邏輯功能。

小米未披露該漏洞是否已被野外利用，但漏洞的嚴(yán)重性表明用戶應(yīng)優(yōu)先更新應(yīng)用程序?；ヂ?lián)應(yīng)用旨在實(shí)現(xiàn)小米設(shè)備與其他智能家居產(chǎn)品的無(wú)縫連接，是該公司生態(tài)系統(tǒng)中的關(guān)鍵組件。

小米繼續(xù)通過(guò)MiSRC鼓勵(lì)安全研究人員參與其漏洞賞金計(jì)劃，強(qiáng)調(diào)其保護(hù)全球數(shù)億用戶的承諾。公司表示，與安全社區(qū)的合作對(duì)于在漏洞被惡意利用前發(fā)現(xiàn)和解決問(wèn)題至關(guān)重要。