in

IoT – O lado obscuro da Iluminação Inteligente

Hackers podiam explorar vulnerabilidades do popular protocolo ZigBee para distribuir ransomware ou spyware nas redes comprometendo pontos de luz inteligentes e os seus controladores

iot-o-lado-obscuro-da-iluminacao-inteligente

O braço de inteligência e pesquisas de ameaças Check Point Research (CPR), da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedora global líder em soluções de cibersegurança, revelou vulnerabilidades que podem permitir a um criminoso distribuir ransomware ou outro tipo de malware em redes corporativas ou domésticas através de lâmpadas inteligentes e sua controladora.

A equipe de pesquisas da Check Point demonstrou como um criminoso pode explorar uma rede IoT (lâmpadas inteligentes e sua controladora) para lançar ataques a redes convencionais em ambientes domésticos, empresariais ou mesmo em cidades inteligentes. Os pesquisadores direcionaram o foco nas lâmpadas inteligentes líderes de mercado a Philips Hue e sua controladora, e descobriu vulnerabilidades (CVE-2020-6007) que permitem se infiltrar nas redes explorando remotamente o protocolo wireless ZigBee (protocolo de baixa taxa de transmissão para aplicações de monitoramento e controle), o qual é utilizado para controlar a maioria dos dispositivos IoT.

Em uma análise da segurança das lâmpadas inteligentes controladas através do ZigBee publicada em 2017, os pesquisadores conseguiram assumir o controle de uma lâmpada Hue em uma rede, instalar uma versão de firmware malicioso e propagar para redes de iluminação adjacentes. Devido a limitações de design, o fabricante só conseguiu solucionar a vulnerabilidade de propagação, porém os criminosos podiam continuar assumindo o controle dessas lâmpadas. Ao utilizar essa vulnerabilidade, os pesquisadores da Check Point decidiram dar um passo adiante e, então, utilizaram a lâmpada Hue como uma plataforma para dominar a controladora das lâmpadas e, finalmente, atacar a rede de computadores alvo.

O cenário do ataque é:

1. O criminoso controla a cor e brilho da lâmpada para levar o usuário a pensar que a lâmpada tem alguma anomalia. A lâmpada aparece como “inalcançável” no aplicativo da controladora e, por isso, tentará “reiniciar”.

2. A única forma de “reiniciar” uma lâmpada no aplicativo é eliminando-a do app, e depois instruir a controladora a reencontrar a lâmpada.

3. A controladora descobre a lâmpada comprometida, e o usuário a reinstala na sua rede.

4. A lâmpada agora controlada pelo criminoso com o firmware atualizado usará as vulnerabilidades do protocolo ZigBee para acionar o envio de um volume elevado de dados para ele. Estes dados permitem também que o criminoso instale um malware na controladora, que está conectada com as redes domésticas ou corporativas.

5. O malware conecta-se com o criminoso e, utilizando-se de uma falha conhecida (como por exemplo o EternalBlue), pode se infiltrar na rede alvo a partir da controladora para espalhar ransomware e spyware.

“Muitos de nós estamos conscientes de que os dispositivos IoT podem representar um risco à segurança, mas esta pesquisa mostra como até os dispositivos mais comuns e aparentemente “burros”, como lâmpadas, podem ser explorados por criminosos e usados para invadir redes ou distribuir malware”, informa Yaniv Balmas, líder de pesquisas cibernéticas da divisão Check Point Research. “É crítico que as organizações e pessoas protejam-se contra esses possíveis ataques por meio da atualização dos seus dispositivos com as mais recentes versões e separando-as de outras máquinas nas suas redes, para limitar uma possível disseminação de malware. No atual panorama complexo de ataques de quinta geração não podemos deixar de lado a segurança do que quer que seja que possa estar conectado às nossas redes.”

A pesquisa foi efetuada com o apoio do Check Point Institute for Information Security (CPIIS) na Universidade de Tel Aviv, apresentada à Philips e à Signify (proprietária da marca Hue) em novembro de 2019. A Signify confirmou a existência da vulnerabilidade no seu produto e lançou uma nova versão de firmware (Firmware 1935144040), o qual foi disponibilizado via atualização automática. Recomenda-se aos usuários que verifiquem se seu produto recebeu a atualização automática desta nova versão do firmware.

Um vídeo de demonstração sobre como este ataque funciona poder ser acessado no link indicado. Todos os detalhes técnicos da pesquisa serão publicados em breve, de modo a dar tempo aos usuários de atualizar com sucesso os seus dispositivos vulneráveis.

A Check Point é o primeiro fabricante a fornecer uma solução de segurança que defende e protege o firmware de dispositivos de IoT. Ao utilizar tecnologia recentemente adquirida (aquisição da empresa Cymplify), a Check Point permite às organizações mitigar ataques a dispositivos antes destes ficarem comprometidos utilizando proteção no dispositivo (on-device) em tempo real.

Sobre a Check Point Research

A Check Point Research disponibiliza informação sobre ciberameaças aos clientes da Check Point Software e à vasta comunidade de cibersegurança. A equipe de pesquisa colhe e analisa dados de ciberataques a nível global captada pela ThreatCloud para manter os hackers sob vigilância, enquanto assegura que todos os produtos da Check Point se encontram atualizados com as mais recentes proteções. A equipe de pesquisa conta com mais de 100 analistas e pesquisadores que cooperam com outros fabricantes de segurança, entidades legais e diversos CERTs.

Escrito por Emanuel Negromonte

Fundador do SempreUPdate. Acredita no poder do trabalho colaborativo, no GNU/Linux, Software livre e código aberto. É possível tornar tudo mais simples quando trabalhamos juntos, e tudo mais difícil quando nos separamos.