La comodità di accendere le luci di casa con il tuo smartphone, programmare il riscaldamento, sincronizzare il televisore con le telecamere, servizi assistenziali a distanza, sicurezza degli impianti elettrici e molto altro, fanno della domotica il futuro delle nostre comodità, ma potrebbe trasformarsi presto in un incubo.
Un gruppo di ricercatori del Forescout Research Labs e JSOF Research, ha identificato ben 9 vulnerabilità nel modo in cui gli stack TCP/IP gestiscono le richieste DNS, mettendo a rischio milioni di server e dispositivi IoT. A queste vulnerabilità i ricercatori hanno dato il nome WRECK (relitto).
FreeBSD, IPnet, Nucleus NET e NetX sono i quattro principali stack TCP / IP con le vulnerabilità, e dato che i client DNS connessi sono centinaia di milioni e connessi ad internet, la probabilità che vengano attaccati a distanza è altissima, e presenta notevoli rischi soprattutto per le aziende.
Rohit Dhamankar, vicepresidente per i prodotti di threat intelligence presso Alert Logic, una società di sicurezza di applicazioni e infrastrutture a Houston, ha precisato a TechNewsWorld:
“La storia ha dimostrato che il controllo dei dispositivi IoT può essere una tattica efficace per lanciare attacchi DDoS. Man mano che i dispositivi IoT diventano più ricchi di funzionalità, è possibile che siano sotto il controllo di un utente malintenzionato, proprio come possono essere server o desktop, e possono essere ulteriormente sfruttati come ponte nelle violazioni aziendali“
I ricercatori hanno anche spiegato in un blog che:
-
FreeBSD è ampiamente utilizzato nei firewall e in diversi dispositivi di rete commerciale. È anche la base per altri noti progetti open source. I tipi di dispositivi più comuni che eseguono FreeBSD includono computer, stampanti e apparecchiature di rete.
-
IPNet tende ad essere utilizzato da dispositivi aziendali con connessione a Internet situati nel perimetro della rete di un’organizzazione, come modem, router, firewall e stampanti, nonché alcuni dispositivi medici e industriali.
-
Nucleus RTOS sul suo sito, menziona che più di 3 miliardi di dispositivi utilizzano questo sistema operativo in tempo reale, come macchine ad ultrasuoni, sistemi di archiviazione, sistemi critici per l’avionica e altri, sebbene presumibilmente molti di loro non siano connessi a Internet.
-
NetX viene solitamente eseguito dal sistema operativo in tempo reale ThreadX (RTOS). Le applicazioni tipiche includono dispositivi medici, sistemi su chip e diversi modelli di stampante. I tipi di dispositivi più comuni che eseguono ThreadX includono stampanti, orologi intelligenti e apparecchiature energetiche e elettriche nei sistemi di controllo industriale (ICS).
Come è possibile un attacco tramite le vulnerabilità DNS e cosa è possibile fare per evitarlo
Sul blog, i ricercatori fanno chiarezza sull’argomento: affinché un utente malintenzionato possa utilizzare queste vulnerabilità, deve trovare un modo per inviare un pacchetto dannoso in risposta a una richiesta DNS legittima. Quindi l’aggressore dovrà eseguire un attacco da middle-man o essere in grado di utilizzare una vulnerabilità esistente come DNSpooq tra il dispositivo di destinazione e il server DNS per ottenerlo.
Per una protezione completa contro WRECK, si richiede l’applicazione di patch ai dispositivi che eseguono le versioni vulnerabili di questi stack IP: FreeBSD, Nucleus NET e NetX sono stati patchati di recente, ed i fornitori di dispositivi che utilizzano questo software dovrebbero fornire i propri aggiornamenti ai clienti.
Tuttavia, non è sempre facile per gli utenti scoprire se dispone delle patch più aggiornate per i dispositivi in esecuzione su questi stack IP interessati e applicare patch ai dispositivi non è sempre facile, o addirittura possibile.
Tuttavia, ci sono alcune cose che puoi fare:
- Fai un inventario dei dispositivi che eseguono gli stack vulnerabili. Forescout Research Labs ha rilasciato uno script open source che utilizza l’impronta digitale attiva per rilevare i dispositivi che eseguono gli stack interessati.
- Mantieni i dispositivi senza patch contenuti o scollegati da internet, fino a quando non possono essere riparati o sostituiti.
- Configura i dispositivi per fare affidamento su server DNS interni, ove possibile. Monitora il traffico di rete alla ricerca di pacchetti dannosi che tentano di sfruttare le vulnerabilità.
- Applica le patch il prima possibile dopo che sono state rese disponibili.
Il monitoraggio del DNS può anche aiutare a difendersi da Wreck, spiegano i tecnici a TechNewsWorld.
Rohit Dhamankar: “Il monitoraggio dell’attività DNS nell’ambiente e la segnalazione di qualsiasi attività del server DNS esterno è un buon passo. In generale, il DNS è un’ottima fonte per monitorare i compromessi con l’analisi della sicurezza“.
Gary Kinghorn: “Se il sistema stesso non può essere patchato, e questo può essere il caso di sistemi di controllo industriale obsoleti o altri dispositivi di rete OT e endpoint IoT, è importante assicurarsi che la rete consenta solo traffico sicuro e affidabile verso questi dispositivi. È qui che i progetti Zero Trust possono aiutare, assicurando che solo i dispositivi autorizzati possano accedere a questi sistemi vulnerabili. Può anche aiutare a monitorare e analizzare continuamente il traffico verso quei dispositivi per garantire che il traffico potenzialmente dannoso o sospetto non lo raggiunga“.
Chris Morales, CISO di Netenrich, un fornitore di servizi del centro operativo di sicurezza a San Jose, in California afferma: “L’IoT nel suo insieme è un hotspot per la sicurezza. Password deboli e account utente hardcoded, mancanza di patch e componenti obsoleti, queste ultime vulnerabilità sono solo più per lo stack di insicurezza che è IoT“
Per chi fosse interessato ai dettagli tecnici completi il report completo è disponibile qui e sarà presentato al Black Hat Asia 2021.