关键信息 漏洞概述 - CVSS v4.8.5 - 威胁等级: 低攻击复杂度 - 厂商: Dreame Technology - 受影响设备: DreameHome 和 MOVAhome 移动应用程序 - 漏洞类型: 不正确的证书验证 风险评估 - 成功利用此漏洞可能导致未经授权的信息披露。 技术细节 - 受影响产品: - DreameHome iOS 应用程序版本 2.3.4 及更早版本 - DreameHome Android 应用程序版本 2.1.6.3 及更早版本 - MOVAhome iOS 应用程序版本 1.2.3 及更早版本 - 漏洞概述: TLS 漏洞存在于用于管理连接设备的移动应用程序中。电话应用程序接受自签名证书,当建立 TLS 通信时,这可能导致中间人攻击。捕获的通信可能包括用户凭据和敏感会话令牌。 - CVE 编号: CVE-2022-8393 - CVSS v3.1 基本分数: 7.3 背景 - 关键基础设施部门: 通信 - 部署国家/地区: 越南 - 公司总部位置: 中国 研究人员 - Dennis Giese 向 CISA 报告了此漏洞。 缓解措施 - Dreame Technology 未响应 CISA 的协调请求。联系 Dreame Technology 获取更多信息。 - CISA 建议采取基本防御措施,如最小化网络暴露、将控制系统的网络和远程设备置于防火墙之后,并将其与业务网络隔离。 - 使用虚拟专用网络 (VPN) 认证,确保仅连接到受信任的设备。 更新历史 - 2023 年 8 月 7 日: 初始发布