Исследователи Check Point показали, как хакеры могут использовать IoT-сеть (интеллектуальные лампочки и контролирующий их сетевой мост) для запуска атак на обычные компьютерные сети в домах, на предприятиях или даже в «умных» городах. Исследователи работали с ведущими на рынке умными лампами и мостами Philips Hue. Они обнаружили уязвимости (CVE-2020-6007), которые позволили им проникнуть в сети с помощью удаленного эксплойта в беспроводном протоколе ZigBee с низким энергопотреблением, который используется для управления большим количесвтом IoT-устройств.
В исследовании безопасности умных лампочек, управляемых с помощью протокола ZigBee, которое было опубликовано в 2017 году, специалисты смогли получить контроль над лампочкой Hue в сети, установить на нее вредоносное ПО и распространить его на другие соседние сети лампочек. Используя оставшуюся уязвимость, исследователи Check Point использовали лампочку Philips Hue в качестве платформы для полного контроля над сетевым мостом управления лампами. Следует отметить, что следующие поколения лампочек Hue не имеют эксплуатируемой уязвимости.
Как происходит атака?
- Хакер меняет цвет или яркость лампы, чтобы обмануть пользователей: это заставляет их думать, что у лампы происходит сбой. Лампа отображается как «Недоступно» в пользовательском приложении управления, поэтому владельцы попытаются сбросить настройки.
- Единственный способ сбросить настройки — удалить лампочку из приложения, а затем поручить контрольному сетевому мосту заново обнаружить лампу.
- Контролирующий мост обнаруживает скомпрометированную хакерами лампу, и именно ее пользователь добавляет обратно в свою сеть.
- Управляемая хакером лампочка с обновленной микропрограммой использует уязвимости протокола ZigBee, чтобы вызвать переполнение буфера на мосту управления, посылая ему большой объем данных. Эти данные также позволяют хакеру установить вредоносное ПО на мосту, который, в свою очередь, подключен к нужной компании или домашней сети.
- Вредоносная программа подключается обратно к хакеру и злоумышленник, используя известный эксплойт (например, такой как EternalBlue), может проникать в нужную IP-сеть с моста для распространения вымогателей или шпионских программ.
«Многие из нас знают, что IoT- устройства могут быть небезопасны. Это исследование показывает, что даже самые обыденные, казалось бы, простейшие устройства, такие как лампочки, могут быть использованы хакерами для захвата сетей и внедрения вредоносных программ, рассказывает Янив Балмас, глава отдела кибер-исследований в подразделении Check Point Research. — Очень важно, чтобы организации и обычные пользователи защищали себя от возможных атак, регулярно обновляя свои устройства и отделяя их от других компьютеров в своих сетях. Это нужно, чтобы ограничить возможное распространение вредоносных программ. Сейчас, в сложном ландшафте атак пятого поколения, необходимо контролировать все, что связано с нашими сетями».
Исследование, проведенное с помощью Института информационной безопасности Check Point (CPIIS) в Тель-Авивском университете, было раскрыто компаниям Philips и Signify (владелец бренда Philips Hue) в ноябре 2019 года. Компания Signify подтвердила существование уязвимости в их продукте, и выпустила исправленную версию прошивки (Firmware 1935144040), которая теперь доступна через автоматическое обновление. Мы рекомендуем пользователям убедиться, что их продукт получил автоматическое обновление этой версии прошивки.