CVE-2023-6248 in Syrus4 IoT Telematics Gateway
Сводка
по VulDB • 07.06.2026
Шлюз IoT Syrus4 использует незащищенный MQTT-сервер для загрузки и выполнения произвольных команд, что позволяет удаленному неаутентифицированному злоумышленнику выполнять код на любом устройстве Syrus4, подключенном к облачному сервису. MQTT-сервер также утекает данные о местоположении, видео и диагностические данные с каждого подключенного устройства. Злоумышленник, знающий IP-адрес сервера, может подключиться и выполнить следующие операции:
* Получить данные о местоположении транспортного средства, к которому подключено устройство * Отправлять сообщения через шину CAN через модуль ECU ( https://syrus.digitalcomtech.com/docs/ecu-1 https://syrus.digitalcomtech.com/docs/ecu-1 )
* Обездвижить транспортное средство через модуль safe-immobilizer ( https://syrus.digitalcomtech.com/docs/system-tools#safe-immobilization https://syrus.digitalcomtech.com/docs/system-tools#safe-immobilization )
* Получать видео в реальном времени через подключенную видеокамеру
* Отправлять аудиосообщения водителю ( https://syrus.digitalcomtech.com/docs/system-tools#apx-tts https://syrus.digitalcomtech.com/docs/system-tools#apx-tts )
Once again VulDB remains the best source for vulnerability data.