0 |
У 2019 році Джим Траутман (Jim Troutman) написав у твіттері про атаки на кшталт "відмова в обслуговуванні" (DoS), які проводилися на пристрої Ubiquiti за допомогою служби 10001/UDP. У відповідь на це компанія Rapid7 провела власну оцінку загрози та повідомила, що майже 500 000 пристроїв були вразливі для цієї атаки. Компанію Ubiquiti повідомили про вразливість, після чого вона заявила, що проблему було виправлено, а її пристрої працюють з останньою версією прошивки.
Тепер, через п'ять років, понад 20 000 пристроїв, як і раніше, вразливі до цієї проблеми. Це є ключовим прикладом того, як складно повністю усунути вразливість не тільки серед настільних комп'ютерів або серверів, а й серед пристроїв Інтернету речей (IoT). Інформаційні дані, оприлюднені під час цієї перевірки, можуть бути корисними під час проведення як технічних, так і соціально-інженерних атак. Дослідження Check Point Research (CPR) показало, що користувачі розкривають величезну кількість даних, найімовірніше, навіть не підозрюючи про це.
Check Point Research виявила, що крім протоколу захищеної оболонки (SSH) (який вимагає ручної активації) і вебсервера для стандартного управління, на мережевому інтерфейсі камери було відкрито два призначених для користувача привілейованих процеси, що використовують протокол UDP на портах 10001 і 7004. Це викликало побоювання, оскільки вразливості в цих службах могли призвести до повної компрометації пристрою.
Використовуючи tcpdump на порту 10001, дослідники CPR виявили протокол виявлення Ubiquiti. Пристрій CloudKey+ регулярно надсилав пакети "ping" на багатоадресні та виявлені пристрої, а камера відповідала на них повідомленнями "pong", що містили докладну інформацію, як-от назву платформи, версію програмного забезпечення та IP-адреси.
Дослідники CPR виділяли два ключові моменти:
Відсутність аутентифікації: У пакеті виявлення ("ping") не було аутентифікації.
Потенціал посилення: Відповідь від камери була значно більшою, ніж пакет виявлення, що вказує на можливість атак із посиленням.
Компанія CPR змогла відправити підроблений пакет виявлення у свою внутрішню тестову мережу, і як камера G4, так і CK+ відповіли, підтвердивши побоювання.
Потім було перевірено, чи можна відтворити цю поведінку через Інтернет. Попри прокидання портів, пристрої не відповідали на запити з Інтернету, що, ймовірно, пов'язано з особливостями налаштування мережі та NAT. Однак, використовуючи користувацький декодер, було виявлено понад 20000 пристроїв Ubiquiti в Інтернеті. Випадкова вибірка показала, що ці пристрої також реагують на підроблені пакети.
Про цю проблему повідомлялося раніше (CVE-2017-0938), і Ubiquiti усунула її, заявивши, що пристрої з останньою версією прошивки відповідають тільки на внутрішні IP-адреси. Незважаючи на це, вразливими залишаються близько 20000 пристроїв, що значно менше, ніж 500000, про які раніше повідомляла Rapid7.
Ця ситуація підкреслює складність повного усунення вразливостей, особливо в пристроях IoT. Наприклад, розшифровані імена хостів розкривають детальну інформацію про пристрої, включно з іменами власників і місцеперебуванням, що може бути використано для атак соціальної інженерії.
Приклади розкритих даних включають:
- Ідентифікація пристрою: Виявлення типів пристроїв, таких як NanoStation Loco M2 або AirGrid M5 HP.
- Інформація про власника: Повні імена, назви компаній та адреси, що забезпечують "хлібні крихти" для цільових атак.
Деякі пристрої навіть відображали попередження типу "HACKED-ROUTER-HELP-SOS-DEFAULT-PASSWORD", вказуючи на те, що їх було зламано.
Check Point Research зв'язалася з Ubiquiti з приводу пристроїв, які відповіли на інтернет-зонд. Ubiquity повідомила, що проблему було виправлено. Пристрої з останньою версією прошивки повинні відповідати тільки на пакети виявлення, відправлені з внутрішніх IP-адрес.
Цей випадок слугує нагадуванням про те, що прості помилки можуть зберігатися роками, та індустрія кібербезпеки має залишатися пильною, оскільки загрозливі суб'єкти продовжують шукати способи використати нашу висхідну залежність від технологій у повсякденному житті. Виправлення помилок і проблем безпеки в пристроях IoT після продажу є надзвичайно складним завданням. На відміну від хмарних сервісів, де одна латка може миттєво убезпечити всіх користувачів, оновлення для IoT-пристроїв поширюються повільно, і часто потрібні роки, щоб вони досягли всіх розгорнутих пристроїв. Деякі користувачі можуть ніколи не оновлювати свої системи, залишаючи їх вічно вразливими. Тому розробка IoT-пристроїв відповідно до принципів security-by-design і включення вбудованих механізмів захисту від експлойтів і шкідливого ПЗ від самого початку є обов'язковою умовою.
Ось деякі заходи, які можуть вжити власники камер, щоб уникнути зараження:
- Переконайтеся, що ваша камера використовує останню версію прошивки, і встановіть латку, якщо вона доступна.
- Встановлення латок для камери, маршрутизатора та інших IoT-пристроїв має стати частиною регулярної кібергігієни.
- Дедалі більше виробників IoT-пристроїв включають автоматичне оновлення за замовчуванням. Переконайтеся, що функцію автоматичного оновлення ввімкнено. Перед купівлею IoT-пристрою запитайте продавця, чи підтримує він автоматичні оновлення.
- За можливості не підключайте IoT-пристрої, наприклад камери, безпосередньо до Інтернету. Якщо ви це робите, переконайтеся, що не розкриваєте про себе більше інформації, ніж необхідно (наприклад, імена, адреси та інші персональні дані).
Зазначається, Check Point IoT Protect надає виробникам Nano agent - повний набір функцій безпеки, які розробники можуть впроваджувати у свої пристрої для забезпечення безпеки на рівні пристрою, що знижує необхідність у частих виправленнях. Цей програмний пакет являє собою автономне рішення, призначене для виявлення і блокування кібератак на IoT-пристрої. Він захищає пристрій, відстежує його активність і не дає змоги зловмисникам отримати контроль над під'єднаними пристроями.
Комп’ютерний розум: генеративний штучний інтелект у рішеннях AWS
0 |