MichaelAdamGroberman/VU653116

# VU#653116 — Gardyn IoT 安全评估 | | | |---|---| | **案例** | CERT/CC VU#653116 | | **CISA 公告** | [ICSA-26-055-03](https://www.cisa.gov/news-events/ics-advisories/icsa-26-055-03) | | **研究员** | Michael Groberman — Gr0m | | **发布日期** | 2026-02-24 | | **供应商** | Gardyn | | **产品** | Gardyn Home Kit 1.0, 2.0, 3.0; Gardyn Studio 1.0, 2.0 | | **注册设备** | 138,160+ | | **用户账户** | 134,215 | ## CVE 映射 已分配 10 个 CVE。ICSA-26-055-03（初始版本，2026-02-24）涵盖了 4 个 CVE；更新 A（2026-04-02）新增了 6 个，共计 10 个。 | CVE | CVSS | CWE | Gr0m 发现 | 标题 | 公告 | |-----|------|-----|-------------|-------|----------| | [CVE-2026-28766](https://www.cve.org/CVERecord?id=CVE-2026-28766) | 9.3 | CWE-306 | Gr0m-006 | 用户账户端点缺少身份验证 | 更新 A | | [CVE-2025-1242](https://www.cve.org/CVERecord?id=CVE-2025-1242) | 9.1 | CWE-798 | Gr0m-003 | 硬编码的 IoT Hub 管理凭据 | 初始版本 | | [CVE-2025-29631](https://www.cve.org/CVERecord?id=CVE-2025-29631) | 9.1 | CWE-78 | Gr0m-032 | 操作系统命令注入 — 远程代码执行 | 初始版本 | | [CVE-2026-25197](https://www.cve.org/CVERecord?id=CVE-2026-25197) | 9.1 | CWE-639 | Gr0m-007, Gr0m-023 | 通过用户控制的密钥导致授权绕过 (IDOR) | 更新 A | | [CVE-2025-10681](https://www.cve.org/CVERecord?id=CVE-2025-10681) | 8.6 | CWE-798 | Gr0m-004 | 硬编码的云存储账户密钥 | 更新 A | | [CVE-2025-29628](https://www.cve.org/CVERecord?id=CVE-2025-29628) | 8.3 | CWE-319 | — | 敏感信息明文传输 | 初始版本 | | [CVE-2025-29629](https://www.cve.org/CVERecord?id=CVE-2025-29629) | 8.3 | CWE-1392 | — | 使用默认凭据 | 初始版本 | | [CVE-2026-32646](https://www.cve.org/CVERecord?id=CVE-2026-32646) | 7.5 | CWE-306 | Gr0m-008 | 管理设备管理缺少身份验证 | 更新 A | | [CVE-2026-28767](https://www.cve.org/CVERecord?id=CVE-2026-28767) | 5.3 | CWE-306 | Gr0m-009 | 管理通知缺少身份验证 | 更新 A | | [CVE-2026-32662](https://www.cve.org/CVERecord?id=CVE-2026-32662) | 5.3 | CWE-489 | Gr0m-019 | 生产环境中存在活动调试代码 | 更新 A | CVE-2025-29628、CVE-2025-29629 和 CVE-2025-29631 最初由 [mselbrede](https://github.com/mselbrede/gardyn) 于 2025 年 2 月发现，并经本研究独立确认。镜像也可在 [kristof-mattei/gardyn-hack](https://github.com/kristof-mattei/gardyn-hack) 获取。 ## 已发布的发现 本仓库仅公开已分配 CVE 标识符并在 CISA 公告中发布的发现。已发布公告之外还存在其他发现，此处未予列举。完整的技术细节已通过 CERT/CC VINCE（案例 VU#653116）提供给 CISA 和供应商。 有关已发布 CVE 的完整列表，请参阅上方的 **CVE 映射** 表。 ## 公开协调时间线 此时间线仅包含 (a) CISA 在 ICSA-26-055-03 中发布的事件，(b) 研究员自身的披露行动，(c) 供应商 API 行为或凭据的可观察变化，以及 (d) 从公开版本字符串推导出的固件编译/部署日期。来自 CERT/CC VINCE 协调平台的内容处于禁发期，未包含在此仓库中。 | 日期 | 事件 | 类型 | |------|-------|------| | 2025-10-14 | 向供应商进行初始披露（研究员行动） | 研究员行动 | | 2025-12-11 | 向 CERT/CC 披露（初始向供应商披露后 58 天） | 研究员行动 / 可观察的沟通空白 | | 2025-12-18 | `/api/users` 端点停止向未经身份验证的请求返回数据 | 可观察的供应商行动 | | 2026-01-19 | 部署固件 master.583（构建日期编码在版本字符串 `master.583.20260119` 中） | 固件部署 | | 2026-01-22 | `iothubowner` Azure IoT Hub 管理凭据已轮换（之前分发的密钥停止工作） | 可观察的供应商行动 | | 2026-02-24 | 供应商的公开安全页面发布于 https://mygardyn.com/security/ | 供应商公开声明 | | 2026-02-24 | **ICSA-26-055-03 发布（初始版本 — 4 个 CVE）** | CISA | | 2026-02-24 | 供应商宣布部署固件 master.619 | 供应商公开声明 | | 2026-04-02 | **ICSA-26-055-03 更新 A 发布（共计 10 个 CVE；CVE-2025-29631 在固件 master.622 中修复）** | CISA | ## 参考资料 - [ICSA-26-055-03 — CISA ICS 公告](https://www.cisa.gov/news-events/ics-advisories/icsa-26-055-03) - [CSAF JSON](https://raw.githubusercontent.com/cisagov/CSAF/develop/csaf_files/OT/white/2026/icsa-26-055-03.json) - CERT/CC VU#653116（漏洞说明，不公开访问） - [Gardyn 安全页面](https://mygardyn.com/security/) **研究员：** Michael Groberman — Gr0m **案例：** CERT/CC VU#653116 / CISA ICSA-26-055-03

标签：CERT/CC, CISA, CISA项目, CVE, Gardyn, ICS, IDOR, IoT, NTLM Relay, PE 加载器, RCE, StruQ, 反取证, 命令注入, 安全评估, 工业控制系统, 数字签名, 明文传输, 智能家居, 权限控制, 漏洞分析, 物联网安全, 硬编码凭证, 编程工具, 认证绕过, 路径探测, 远程代码执行, 默认凭证