آسیبپذیریهای CVE-2025-15111 و CVE-2025-15114 با شدت 9.3 در سیستم اتوماسیون خانگی Ksenia Security Lares 4.0 نسخه 1.6 شناسایی شدهاند و در کنار هم یک سناریوی حمله پرخطر را شکل میدهند. آسیبپذیری اول به دلیل استفاده از اعتبارنامههای مدیریتی پیشفرض، به مهاجم اجازه میدهد بدون مجوز وارد سیستم شود و دسترسی کامل مدیریتی به دست آورد. پس از احراز هویت، آسیبپذیری دوم باعث افشای PIN سیستم هشدار در پاسخهای XML میشود که یک داده بسیار حساس محسوب میگردد. این اطلاعات بدون هیچ لایه حفاظتی اضافی در اختیار کاربر احراز هویتشده قرار میگیرد. ترکیب این دو نقص امنیتی امکان دور زدن کامل مکانیزمهای حفاظتی و غیرفعالسازی سیستم هشدار را فراهم میکند. در نتیجه، مهاجم میتواند کنترل کامل سیستم امنیتی و اتوماسیون خانگی را در اختیار بگیرد. این وضعیت تهدید جدی برای امنیت فیزیکی و اطلاعاتی کاربران ایجاد میکند و نیازمند اقدام فوری است.
- نسخه 1.6 دقیقاً تأیید شده تحت تأثیر هر دو آسیبپذیری است
- ستآپهایی که از Lares 4.0 استفاده میکنند
- سیستمهای اتوماسیون خانگی
- سیستمهای هشدار و امنیتی متصل به شبکه سازمانی یا خانگی
تا زمانی که تولیدکننده (Ksenia) راهکار رسمی ارائه ندهد، همه نسخههای قبل از رفع رسمی باید در معرض خطر فرض شوند.
- بهروزرسانی فوری سیستم Lares 4.0 به نسخهای که آسیبپذیریها در آن رفع شده منتشر شده.
- جداسازی شبکه (Network Segmentation) برای جلوگیری از دسترسی مستقیم به سیستمهای کنترل هشدار.
- استفاده از Firewall / IPS برای محدودسازی دسترسی به رابطهای مدیریتی.
- نظارت مستمر (Continuous Monitoring) و بررسی رفتارهای مشکوک.
- فعالسازی آشنایی با تهدیدها (Threat Intelligence) و بهروزرسانی روالهای امنیتی داخلی.
- 42