Selon Include Security, des vulnérabilités d’authentification affectent la console audio professionnelle Allen & Heath SQ‑6, avec des services réseau exposés sans authentification serveur et des communications non chiffrées, susceptibles de perturber des événements en direct. Le fournisseur a été notifié et a publié un correctif.
• Découverte et impact: les chercheurs ont identifié de la client-side authentication dans les applications mobiles, contournable via Frida, et un service MIDI non authentifié accessible sur le réseau. Ces failles permettent le contrôle complet du mixeur (mise en sourdine, changements de scène, volume), exposant à des perturbations de spectacles/événements. Ils soulignent un problème plus large dans l’industrie AVL (audio‑vidéo‑lumière) où la sécurité repose trop sur la segmentation réseau.
• Détails techniques clés: la SQ‑6 expose des services sans authentification côté serveur: contrôle app (TCP 51326), mises à jour app (UDP 51324), MIDI (TCP 51325). Le mot de passe est géré côté client et le mixeur diffuse le hash (valeur hex 4 octets) à tous les clients sur TCP 51326. Par reverse engineering de l’app Android SQ MixPad (jadx) et hooking Frida, les chercheurs ont ciblé la fonction ZN24cQtUserPermissionManager15passwordMatchesEi7QString dans la bibliothèque libSQ‑MixPad arm64‑v8a.so pour forcer la validation. Le service MIDI sur TCP 51325 est totalement non authentifié, avec une preuve de concept en Go envoyant des commandes MIDI pour muter 48 canaux. Toutes les communications sont en clair, facilitant interception/modification (ex. via iptables).
• Mesures mises en avant par les chercheurs: segmentation réseau via VLANs et AP dédiés, restriction d’accès aux seuls équipements de confiance, et pas de connectivité Internet inutile pour ce type d’équipement.
• IOCs et TTPs:
- IOCs réseau: ports exposés TCP 51326, UDP 51324, TCP 51325; diffusion de hashs de mot de passe (4 octets hex) sur TCP 51326.
- TTPs: interception de trafic (iptables), reverse engineering Android (jadx), hooking Frida pour bypass d’authentification côté client, abus du protocole MIDI non authentifié via réseau, PoC en Go pour commandes MIDI, communications en clair.
Article de type publication de recherche décrivant des vulnérabilités, leurs impacts et la divulgation responsable, avec disponibilité d’un patch.
🔗 Source originale : https://blog.includesecurity.com/2025/10/production-security-not-that-kind/