IT之家11月16日消息，安全公司Claroty发布报告，曝光了一款海外流行的物联网设备云端管理平台Ovr内含的一系列重大漏洞。安全公司声称黑客可以接连利用这些漏洞实现在物联网设备上远程执行恶意代码，而根据CVSS风险评估，部分曝光的漏洞风险评分高达9.2（满分10分）。

据悉，OvrC物联网平台的主要功能是通过移动应用或基于WebSocket的界面为用户提供远程配置管理、运行状态监控等服务。自动化公司SnapOne在2014年收购了该平台，在2020年声称OvrC已拥有约920万台设备，而如今该平台预计坐拥1000万台设备。

IT之家参考安全报告获悉，相关漏洞主要包括输入验证不足、不当的访问控制、敏感信息以明文传输、数据完整性验证不足、开放式重定向、硬编码密码、绕过身份验证等，此类漏洞大多源于设备与云端接口的安全设计缺陷，黑客可利用漏洞绕过防火墙，避开网络地址转换（NAT）等安全机制，从而在平台设备上运行恶意代码。

参考CVSS风险评分，4个被评为高危的漏洞分别是：输入验证不足漏洞CVE-2023-28649、不当访问控制漏洞CVE-2023-31241、数据完整性验证不足漏洞CVE-2023-28386，以及关键功能缺乏认证漏洞CVE-2024-50381，这些漏洞的评分在9.1至9.2之间。

关于漏洞的具体利用方式，研究人员指出，黑客可以先利用CVE-2023-28412漏洞获取所有受管设备的列表，再通过CVE-2023-28649和CVE-2024-50381漏洞强制设备进入“未声明所有权”（Unclaim）状态。随后黑客即可利用CVE-2023-31241漏洞将MAC地址与设备ID匹配，并通过设备ID重新声明设备所有权，最终实现远程执行代码。

值得注意的是，在研究人员报告后，大部分问题已于去年5月被修复，但仍有两个漏洞直到本月才得到解决，目前，该平台已完全修复相应漏洞。