Hoe deze ongebruikelijke slimme apparaten kunnen worden gehackt en wat dit betekent voor het IoT Nu bekijken
Beveiligingskwetsbaarheden in miljoenen Internet of Things (IoT)-apparaten, waaronder aangesloten beveiligingscamera's, slimme babyfoons en andere digitale video-opnameapparatuur, kunnen cyberaanvallers in staat stellen apparaten op afstand te compromitteren, waardoor ze live feeds kunnen bekijken en beluisteren, evenals inloggegevens compromitteren om de weg vrij te maken voor verdere aanvallen.
De kwetsbaarheden in IoT-apparaten die het ThroughTek Kalay-netwerk gebruiken, zijn onthuld door cyberbeveiligingsbedrijf Mandiant in samenwerking met de Cybersecurity and Infrastructure Security Agency (CISA) en ThroughTek.
Het wordt bijgehouden als CVE-2021-28372 en heeft een Common Vulnerability Scoring System (CVSS)-score van 9,6, waardoor het wordt geclassificeerd als een kritieke kwetsbaarheid. Upgraden naar de nieuwste versie van het Kalay-protocol (3.1.10) wordt sterk aanbevolen om apparaten en netwerken te beschermen tegen aanvallen.
ZIE: Een winnende strategie voor cyberbeveiliging (speciaal rapport van ZDNet)
Hoewel Mandiant niet in staat is geweest om een uitgebreide lijst van alle getroffen apparaten samen te stellen, suggereren de eigen cijfers van ThroughTek dat 83 miljoen aangesloten apparaten zijn verbonden via het Kalay-netwerk.
Eerder onderzoek door Nozomi Networks heeft ook kwetsbaarheden in ThroughTek gevonden, maar de nieuwe kwetsbaarheden die door Mandiant zijn onthuld, zijn afzonderlijk en stellen aanvallers in staat om externe code op apparaten uit te voeren.
Onderzoekers waren in staat om het ontleden van ThroughTek-bibliotheken via officiële apps van zowel de Google Play Store als de Apple App Store te combineren met het ontwikkelen van een volledig functionele implementatie van het Kalay-protocol van ThroughTek. Hierdoor konden belangrijke acties worden ondernomen, waaronder apparaatdetectie, apparaatregistratie, externe clientverbindingen, authenticatie en de verwerking van audio- en videogegevens (AV).
Door een interface te schrijven voor het maken en manipuleren van Kalay-verzoeken en -antwoorden, konden onderzoekers logische en stroomkwetsbaarheden in het Kalay-protocol identificeren – met name de mogelijkheid om apparaten te identificeren en te registreren op een manier die aanvallers in staat stelt om compromis hen.
Aanvallers bereiken dit door de uniek toegewezen identifier van een Kalay-clientapparaat te verkrijgen, die kan worden ontdekt via web-API's zoals mobiele applicaties. Zodra ze de UID van een apparaat hebben verkregen, kunnen ze het registreren, waardoor Kalay-servers het bestaande apparaat overschrijven en pogingen om verbinding te maken met het apparaat naar het pad van de aanvaller leiden.
Door dit te doen, kunnen aanvallers de gebruikersnaam en het wachtwoord verkrijgen die nodig zijn om toegang te krijgen tot het apparaat, die ze vervolgens kunnen gebruiken om het op afstand te openen – compleet met de mogelijkheid om audio- en videogegevens in realtime te controleren.
“Zodra een aanvaller UID's heeft verkregen, kunnen ze clientverbindingen naar zichzelf omleiden en authenticatiemateriaal naar het apparaat verkrijgen. Van daaruit kan een aanvaller apparaatvideo bekijken, naar apparaataudio luisteren en mogelijk het apparaat verder compromitteren afhankelijk van de functionaliteit van het apparaat”, vertelde Erik Barzdukas, manager proactieve services bij Mandiant Consulting, aan ZDNet.
Dit is niet alleen een enorme schending van de privacy voor de gebruikers, vooral als de camera's en monitoren in hun eigen huis zijn geïnstalleerd, maar gecompromitteerde apparaten in bedrijfsomgevingen kunnen aanvallers in staat stellen te snuffelen in gevoelige discussies en vergaderingen, waardoor ze mogelijk extra middelen hebben om inbreuk te maken. netwerken.
Het is ook mogelijk dat apparaten worden gerekruteerd in een botnet en worden gebruikt om DDoS-aanvallen uit te voeren.
“Dit beveiligingslek kan mogelijk leiden tot uitvoering van externe code op het apparaat van het slachtoffer, wat op verschillende manieren kwaadwillig kan worden gebruikt, zoals het mogelijk maken van een botnet op de kwetsbare apparaten of het verder aanvallen van apparaten op hetzelfde netwerk als het apparaat van het slachtoffer.” ', zegt Barzdukas.
Het exploiteren van CVE-2021-28372 is complex en vergt tijd en moeite van een aanvaller. Maar dat maakt het niet onmogelijk, en de kwetsbaarheid wordt nog steeds als kritiek beschouwd door CISA.
ZIE: De banencrisis op het gebied van cyberbeveiliging wordt erger en bedrijven maken basisfouten bij het aannemen van personeel.
Mandiant werkt samen met leveranciers die het Kalay-protocol gebruiken om apparaten te beschermen tegen de kwetsbaarheid, en raadt aan dat de fabrikant, moeten IoT-gebruikers regelmatig patches en updates toepassen op apparaten om ervoor te zorgen dat ze beschermd zijn tegen bekende kwetsbaarheden.
“Ongeacht of je een van de getroffen apparaten bezit, Mandiant raadt consumenten en bedrijven met slimme apparaten ten zeerste aan om hun apparaten en applicaties up-to-date te houden”, aldus Barzdukas.
“Consumenten en bedrijven moeten tijd vrijmaken – minstens één keer per maand – om te controleren of hun slimme apparaten updates hebben om te installeren”, voegde hij eraan toe.
“Als leverancier van IoT-oplossingen zijn we voortdurend bezig met het upgraden van voldoende software en cloudservice om hogere beveiligingsmechanismen te bieden die kunnen worden toegepast in apparaten, verbindingen en client-apps. Hoewel we niet kunnen beperken welke API/functie die ontwikkelaars in onze SDK zullen gebruiken, zal ThroughTek onze educatieve training versterken en ervoor zorgen dat onze klanten deze correct gebruiken om een verdere inbreuk op de beveiliging te voorkomen”, vertelde een woordvoerder van ThroughTek aan ZDNet.
“We werken ook samen met CISA om deze kwetsbaarheid te verkleinen”, voegde ze eraan toe.
Mandiant's beveiligingsonthulling bedankt ThroughTek — en CISA — “beiden voor hun samenwerking en ondersteuning met het vrijgeven van dit advies en de inzet om IoT-apparaten wereldwijd te beveiligen”.
MEER OVER CYBERVEILIGHEID
Deze nieuwe kwetsbaarheden brengen miljoenen IoT-apparaten in gevaar, dus patch nuIoT: beveiligingsonderzoekers waarschuwen voor kwetsbaarheden in pneumatische buissystemen van ziekenhuizenJa, uw beveiligingscamera kan worden gehackt: hier is hoe te stoppen met spionerenBob had een slechte nacht: IoT-onheil in een capsulehotel brengt wraak van buren naar een hoger niveauDoor deze oude beveiligingskwetsbaarheid zijn miljoenen Internet of Things-apparaten kwetsbaar geworden tegen aanvallen
Verwante onderwerpen:
Internet of Things-beveiliging TV-gegevensbeheer CXO-datacenters 