Уязвимость в ZigBee ставит IoT-устройства под удар

Уязвимость в ZigBee ставит IoT-устройства под удар

ZigBee – беспроводной стандарт, надстройка IEEE 802.15.4, при помощи которого устройства, подключенные к интернету вещей (IoT), общаются друг с другом. Данный стандарт используют для своих устройств Samsung, Philips, Motorola и другие крупные производители.

Исследователи венской компании Cognosec обнаружили в ZigBee критический недочет, который способен скомпрометировать любой умный дом.

В наши дни, когда холодильник может самостоятельно проверять свежесть еды, а электросчетчик способен управлять всей системой освещения в доме, вопрос безопасности IoT встает в полный рост. Конечно, умный дом может быть крайне полезной и забавной штукой, но только до тех пор, пока  хакеры не «вломились» в него виртуально, подобно настоящим ворам или взломщикам, отключив сигнализацию и открыв двери.

Основная проблема заключается в том, что производители используют дефолтные ключи связи (link key) для своих устройств, в погоне за совместимостью с устройствами других производителей, дешевизной и удобством пользователя. Использование дефолтных link keys и ставит под угрозу безопасность сети в целом. К тому же, сам стандарт ZigBee весьма вольно относится к вопросу безопасности и сохранности ключей, то есть безопасная инициализация и передача зашифрованных ключей внутри сети сильно хромают и уязвимы. При помощи простого сниффинга, атакующий способен перехватить обмен ключами и внедриться в сеть, используя дефолтный link key. В итоге, устройства оказываются открыты для man-in-the-middle атак, а сеть, активный сетевой ключ и все коммуникации внутри сети — скомпрометированы, передает xakep.ru.

После опытов с IoT лампочками, датчиками движения, датчиками температуры и дверными замками, в Cognosec пришли к неутешительному выводу, что производители оснащают  устройства для домашнего использования лишь необходимым минимумом функций, чтобы соответствовать стандарту по самой нижней планке. К сожалению, это нормальная практика, и у пользователей просто нет выбора, даже если они хотят повысить свой стандарт безопасности (хотя бы изменив пароли и установив дополнительное защитное ПО).
По мнению исследователей, эта проблема куда серьезнее недочетов в самом стандарте ZigBee. По сути, исследователи пишут, что «все недочеты и ограничения ZigBee искусственно создали сами производители».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый ботнет использует утилиту hping3 для проведения DDoS-атак

В интернете объявился новый, активно развиваемый DDoS-зловред. Проведенный в NSFOCUS анализ показал, что новобранец, нареченный hpingbot, написан с нуля на Go и нацелен на платформы Windows и Linux/IoT.

Обнаруженный в прошлом месяце троян (результат VirusTotal на 4 июля — 13/72) также поддерживает множество архитектур CPU, включая amd64, mips, arm и 80386. В настоящее время в состав созданного на его основе ботнета входят немногим более 14,6 тыс. зараженных устройств.

Для своей работы hpingbot использует совсем другие ресурсы, нежели многочисленные производные Mirai и Gafgyt: прячет полезную нагрузку на Pastebin, а DDoS-атаки проводит с помощью hping3 — бесплатного инструмента диагностики сетей, похожего на ICMP ping.

Подобный подход не только повышает шансы зловреда на сокрытие от обнаружения, но также значительно снижает стоимость его разработки и операционные расходы.

Ссылки на Pastebin жестко прописаны в коде hpingbot. Отдаваемый с сайта пейлоад (IP-адреса C2, скрипты для загрузки дополнительных компонентов) часто сменяется.

Из техник DDoS вредоносу подвластен флуд — SYN, TCP, ACK, UDP и многовекторный. Примечательно, что Windows-версия трояна не способна оперировать hping3 из-за ограничений по внешним условиям, она в основном заточена под загрузку и запуск дополнительных модулей.

Из последних был выявлен написанный на Go генератор DDoS-флуда (UDP и TCP), который с 19 июня загружается на ботнет для тестирования. Он связан с теми же C2, но не имеет доступа к Pastebin, не вызывает hping3 и не умеет обновляться.

Распространяется hpingbot через брутфорс SSH, используя специальный модуль. Закрепиться в системе зловреду помогают Systemd, SysVinit и Cron, после выполнения своих задач он удаляет свои файлы и подчищает логи.

Зафиксированные DDoS-атаки с ботнета пока немногочисленны — по всей видимости, операторы пока сосредоточены на наращивании потенциала.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru