Спецпроекты

Check Point выяснил, как сети могут быть взломаны с помощью лампочки

Безопасность Стратегия безопасности Техника

Команда исследователей Check Point Research, подразделение Check Point Software Technologies рассказала об уязвимостях, которые могли бы позволить хакеру доставить вымогателей или другие вредоносные программы в офисные и домашние сети, захватив умные лампочки и их контроллер.

Исследователи Check Point показали, как хакеры могут использовать IoT-сеть (интеллектуальные лампочки и контролирующий их сетевой мост) для запуска атак на обычные компьютерные сети в домах, на предприятиях или даже в умных городах. Исследователи работали с ведущими на рынке умными лампами и мостами Philips Hue. Они обнаружили уязвимости (CVE-2020-6007), которые позволили им проникнуть в сети с помощью удаленного эксплойта в беспроводном протоколе Zigbee с низким энергопотреблением, который используется для управления большим количеством IoT-устройств.

В исследовании безопасности умных лампочек, управляемых с помощью протокола Zigbee, которое было опубликовано в 2017 г., специалисты смогли получить контроль над лампочкой Hue в сети, установить на нее вредоносное ПО и распространить его на другие соседние сети лампочек. Используя оставшуюся уязвимость, исследователи Check Point использовали лампочку Philips Hue в качестве платформы для полного контроля над сетевым мостом управления лампами. Следует отметить, что следующие поколения лампочек Hue не имеют эксплуатируемой уязвимости.

Check Point описал ход атаки. Сперва хакер меняет цвет или яркость лампы, чтобы обмануть пользователей: это заставляет их думать, что у лампы происходит сбой. Лампа отображается как «Недоступно» в пользовательском приложении управления, поэтому владельцы попытаются сбросить настройки. Единственный способ сбросить настройки — удалить лампочку из приложения, а затем поручить контрольному сетевому мосту заново обнаружить лампу. Контролирующий мост обнаруживает скомпрометированную хакерами лампу, и именно ее пользователь добавляет обратно в свою сеть. Управляемая хакером лампочка с обновленной микропрограммой использует уязвимости протокола Zigbee, чтобы вызвать переполнение буфера на мосту управления, посылая ему большой объем данных. Эти данные также позволяют хакеру установить вредоносное ПО на мосту, который, в свою очередь, подключен к нужной компании или домашней сети. Вредоносная программа подключается обратно к хакеру и злоумышленник, используя известный эксплойт (например, такой как Eternalblue), может проникать в нужную IP-сеть с моста для распространения вымогателей или шпионских программ.

«Многие из нас знают, что IoT-устройства могут быть небезопасны. Это исследование показывает, что даже самые обыденные, казалось бы, простейшие устройства, такие как лампочки, могут быть использованы хакерами для захвата сетей и внедрения вредоносных программ, – сказал Янив Балмас, глава отдела кибер-исследований в подразделении Check Point Research. – Очень важно, чтобы организации и обычные пользователи защищали себя от возможных атак, регулярно обновляя свои устройства и отделяя их от других компьютеров в своих сетях. Это нужно, чтобы ограничить возможное распространение вредоносных программ. Сейчас, в сложном ландшафте атак пятого поколения, необходимо контролировать все, что связано с нашими сетями».

Исследование, проведенное с помощью Института информационной безопасности Check Point (CPIIS) в Тель-Авивском университете, было раскрыто компаниям Philips и Signify (владелец бренда Philips Hue) в ноябре 2019 г. Компания Signify подтвердила существование уязвимости в их продукте, и выпустила исправленную версию прошивки (Firmware 1935144040), которая теперь доступна через автоматическое обновление. Check Point рекомендует пользователям убедиться, что их продукт получил автоматическое обновление этой версии прошивки.