Come possono essere violati questi dispositivi intelligenti insoliti e cosa significa per l'IoT Guarda ora
Le vulnerabilità della sicurezza in milioni di dispositivi Internet of Things (IoT), tra cui telecamere di sicurezza connesse, baby monitor intelligenti e altre apparecchiature di registrazione video digitale, potrebbero consentire ai cybercriminali di compromettere i dispositivi da remoto, consentendo loro di guardare e ascoltare feed dal vivo, nonché compromettere le credenziali per preparare il terreno per ulteriori attacchi.
Le vulnerabilità nei dispositivi IoT che utilizzano la rete ThroughTek Kalay sono state divulgate dalla società di sicurezza informatica Mandiant in coordinamento con la Cybersecurity and Infrastructure Security Agency (CISA) e ThroughTek.
È registrato come CVE-2021-28372 e ha un punteggio CVSS (Common Vulnerability Scoring System) di 9,6, classificandolo come una vulnerabilità critica. L'aggiornamento all'ultima versione del protocollo Kalay (3.1.10) è altamente raccomandato per proteggere i dispositivi e le reti dagli attacchi.
VEDERE: Una strategia vincente per la sicurezza informatica (rapporto speciale ZDNet)
Sebbene Mandiant non sia stata in grado di compilare un elenco completo di tutti i dispositivi interessati, le cifre di ThroughTek suggeriscono che 83 milioni di dispositivi connessi sono collegati tramite la rete Kalay.
Anche una ricerca precedente di Nozomi Networks ha rilevato vulnerabilità in ThroughTek, ma le nuove vulnerabilità divulgate da Mandiant sono separate e consentono agli aggressori di eseguire codice remoto sui dispositivi.
I ricercatori sono stati in grado di combinare la dissimulazione delle librerie ThroughTek tramite app ufficiali sia dal Google Play Store che dall'App Store di Apple con lo sviluppo di un'implementazione completamente funzionale del protocollo Kalay di ThroughTek. Ciò ha consentito di intraprendere azioni chiave, tra cui il rilevamento del dispositivo, la registrazione del dispositivo, le connessioni client remote, l'autenticazione e l'elaborazione dei dati audio e video (AV).
Scrivendo un'interfaccia per creare e manipolare richieste e risposte Kalay, i ricercatori potrebbero identificare la logica e le vulnerabilità del flusso nel protocollo Kalay, in particolare la capacità di identificare e registrare i dispositivi in modo da consentire agli aggressori di comprometterli.
Gli aggressori ottengono ciò ottenendo l'identificatore assegnato in modo univoco di un dispositivo client abilitato per Kalay, che può essere scoperto tramite API Web come le applicazioni mobili. Una volta ottenuto l'UID di un dispositivo, possono registrarlo, il che fa sì che i server Kalay sovrascrivano il dispositivo esistente, indirizzando i tentativi di connessione al dispositivo nel percorso dell'attaccante.
In questo modo, gli aggressori possono ottenere il nome utente e la password necessari per accedere al dispositivo, che possono quindi utilizzare per accedervi in remoto, oltre alla possibilità di monitorare i dati audio e video in tempo reale.
“Una volta che un utente malintenzionato ha ottenuto gli UID, può reindirizzare le connessioni client a se stesso e ottenere materiali di autenticazione sul dispositivo. Da lì, un utente malintenzionato può guardare il video del dispositivo, ascoltare l'audio del dispositivo e potenzialmente compromettere ulteriormente il dispositivo a seconda della funzionalità del dispositivo”, ha detto a ZDNet Erik Barzdukas, manager dei servizi proattivi presso Mandiant Consulting.
Non solo si tratta di una massiccia violazione della privacy per gli utenti, in particolare se le telecamere e i monitor sono installati all'interno delle proprie case, ma i dispositivi compromessi nelle impostazioni aziendali potrebbero consentire agli aggressori di curiosare su discussioni e riunioni sensibili, fornendo loro potenzialmente ulteriori mezzi per compromettere reti.
C'è anche la possibilità che i dispositivi vengano reclutati in una botnet e utilizzati per condurre attacchi DDoS.
“Questa vulnerabilità potrebbe potenzialmente consentire l'esecuzione di codice remoto sul dispositivo vittima, che può essere utilizzato in modo dannoso in una varietà di modi, come la creazione potenziale di una botnet dai dispositivi vulnerabili o l'ulteriore attacco di dispositivi sulla stessa rete del dispositivo vittima. “, ha affermato Barzdukas.
Sfruttare CVE-2021-28372 è complesso e richiederebbe tempo e impegno da parte di un utente malintenzionato. Ma ciò non lo rende impossibile e la vulnerabilità è ancora considerata critica dalla CISA.
VEDI: La crisi dei posti di lavoro nella sicurezza informatica sta peggiorando e le aziende stanno commettendo errori di base con le assunzioni
Mandiant sta collaborando con fornitori che utilizzano il protocollo Kalay per proteggere i dispositivi dalla vulnerabilità e raccomanda di non importare il produttore, gli utenti IoT dovrebbero applicare regolarmente patch e aggiornamenti ai dispositivi per assicurarsi che siano protetti da vulnerabilità note.
“Indipendentemente dal fatto che tu possieda uno dei dispositivi interessati, Mandiant consiglia vivamente ai consumatori e alle aziende con dispositivi intelligenti di mantenere aggiornati i propri dispositivi e applicazioni”, ha affermato Barzdukas.
“I consumatori e le aziende devono dedicare del tempo, almeno una volta al mese, per verificare se i loro dispositivi intelligenti hanno aggiornamenti da installare”, ha aggiunto.
“Come fornitore di soluzioni IoT, aggiorniamo continuamente software e servizi cloud sufficienti per fornire meccanismi di sicurezza più elevati da applicare a dispositivi, connessioni e app client. Sebbene non possiamo limitare l'API/funzione che gli sviluppatori utilizzeranno nel nostro SDK, ThroughTek rafforzare la nostra formazione educativa e assicurarci che i nostri clienti la utilizzino correttamente per evitare un'ulteriore violazione della sicurezza”, ha detto a ZDNet un portavoce di ThroughTek.
“Inoltre, abbiamo lavorato con CISA per mitigare questa vulnerabilità”, hanno aggiunto.
La divulgazione della sicurezza di Mandiant ringrazia ThroughTek – e CISA – “entrambi per la loro collaborazione e supporto con il rilascio di questo avviso e l'impegno a proteggere i dispositivi IoT a livello globale”.
ALTRO SULLA CYBERSECURITY
Queste nuove vulnerabilità mettono a rischio milioni di dispositivi IoT, quindi patch oraIoT: i ricercatori di sicurezza avvertono delle vulnerabilità nei sistemi di tubi pneumatici ospedalieriSì, la tua telecamera di sicurezza potrebbe essere violata: ecco come smettere di spiare gli occhiBob ha avuto una brutta notte: il furto IoT in un capsule hotel porta la vendetta del vicinato al livello successivoQuesta vecchia vulnerabilità della sicurezza ha reso vulnerabili milioni di dispositivi Internet of Things agli attacchi
Argomenti correlati:
Internet of Things Security TV Data Management CXO Data Center 