Gli autori di botnet dell’Internet delle cose (IoT) si stanno adeguando alla sempre maggiore sicurezza dei dispositivi IoT: l’azione degli aggressori viene così deviata verso lo sfruttamento delle vulnerabilità presenti in tali dispositivi IoT che va quindi ad integrarsi alle attività di accesso alle password predefinite in fabbrica o a soppiantarle completamente. Dal momento che la sicurezza dei dispositivi IoT si trova ancora in fase embrionale, non è inconsueto che si presentino vulnerabilità basilari quali il command injection. A novembre 2018 honeypot ha registrato lo sfruttamento di numerose vulnerabilità IoT obsolete quale strumento di diffusione di malware. Dai dati raccolti emerge che i nuovi dispositivi IoT subiscono in meno di un giorno il tentativo di fare leva sulle vulnerabilità note e sono soggetti in meno di 5 minuti a tentativi di accesso con forza bruta mediante le credenziali IoT predefinite (Dipping Into The Honeypot.)
- Nei propri attacchi, gli autori di botnet IoT sfruttano sempre più spesso le vulnerabilità correlate all’IoT affiancandole alle consuete attività di forza bruta. In alcuni casi gli aggressori scelgono di accompagnare le tecniche di brute force a tentativi di fare leva su vulnerabilità note.
- Le vulnerabilità correlate all’IoT restano validi vettori di attacco per periodi prolungati per via delle difficoltà e della lentezza nello sviluppo di patch per i dispositivi IoT.
- Secondo quanto emerge dai dati raccolti, i primi tentativi di attacchi di forza bruta iniziano già dopo meno di cinque minuti dalla prima connessione alla rete del dispositivo IoT. Nel giro di ventiquattro ore gli stessi dispositivi iniziano quindi a subire tentativi di sfruttamento delle vulnerabilità note.
Il ricorso alle vulnerabilità basate sull’IoT ha permesso agli autori di botnet di accrescere agevolmente la quantità di dispositivi nei rispettivi botnet. Un esempio lampante di questa situazione è costituito dalle innumerevoli varianti di Mirai che contenevano vulnerabilità specifiche dell’IoT. Nei dati del nostro honeypot si evidenziano tempistiche rapidissime tra il momento in cui una vulnerabilità viene resa nota a quello in cui gli autori di botnet la integrano nelle proprie reti botnet.
Si nota una corrente costante di vulnerabilità correlate all’IoT sia nuove che datate rispetto agli honeypot esterni. Sono due i motivi fondamentali per cui i tentativi di sfruttare le vulnerabilità IoT meno recenti siano ancora frequenti. In primo luogo, i dispositivi IoT possono restare “parcheggiati” negli scaffali per settimane prima di essere acquistati. Nel caso venga distribuita la release di un aggiornamento della sicurezza per tali dispositivi, chiaramente le nuove misure di sicurezza non entrano in funzione finché non si provvede all’aggiornamento del software. Di conseguenza, il dispositivo appena messo in funzione è vulnerabile. Al momento del collegamento, la vulnerabilità del dispositivo IoT può quindi essere sfruttata molto rapidamente. I dati di honeypot mostrano che soltanto cinque minuti dopo il collegamento a Internet del dispositivo, qualcuno inizia a effettuarne la scansione e a tentare l’accesso con forza bruta. Il secondo motivo è la lentezza sconfortante con cui i dispositivi IoT ricevono le patch. Questi dispositivi, infatti, vengono considerati strumenti da azionare e abbandonare a sé stessi. Quando è l’ultima volta che avete aggiornato la vostra videocamera IP oppure il modem cablato?
Osservando i dati honeypot nel mese di novembre Netscout ha riscontrato una serie enorme di attività legate allo sfruttamento di Hadoop YARN come descritto in “Mirai: Not Just For IoT Anymore”.
Nell’ambito degli assalti legati alle richieste ad Hadoop YARN è stato notato un insieme di vulnerabilità IoT più obsolete quali CVE-2014-8361, CVE-2015-2051, CVE-2017-17215 e CVE-2018-10561.
CVE-2017-17215 è stata impiegata anche in numerosi botnet IoT di alto profilo. Tale vulnerabilità è stata resa pubblica nel dicembre 2017 con un’attività di ricerca pubblicata su exploit-db il 25 dicembre 2017.
Poiché le patch per i dispositivi IoT vengono rilasciate a passo di lumaca, i botnet IoT continuano a fare leva sulle vulnerabilità meno recenti che permettono di mettere a segno un alto numero di attacchi. L’uso continuativo di queste vulnerabilità comprovate e reali evidenzia che, in ambito di botnet IoT, “il vecchio è sempre attuale”.
Riepilogo
I dispositivi IoT prima o poi ricevono patch, ma non con la stessa rapidità né allo stesso livello di priorità di cui godono i sistemi operativi. Di conseguenza, la longevità e la sfruttabilità delle vulnerabilità basate sull’IoT sono di gran lunga più estese e allettanti per gli autori di botnet. Questa tendenza è evidente nei dati honeypot.
Considerato l’enorme numero di dispositivi IoT collegati a Internet, è facile e immediato trovarne di vulnerabili. Se a questo si aggiunge l’ampio delta costituito da quando il dispositivo vulnerabile viene “acceso” e da quando vengono applicati gli aggiornamenti per le vulnerabilità legate alla sicurezza, è evidente che gli aggressori riescono a organizzare rapidamente botnet considerevoli. Nella maggior parte dei casi questi botnet sono subito reclutati nell’esercito dei DDoS. Infatti, non occorrono sforzi titanici per creare botnet IoT di grandi dimensioni e, quindi, generare il caos come dimostrato dagli attacchi DDoS sferrati da Mirai nel 2016.
Concluso ormai il 2018 e agli albori del 2019, siamo testimoni di un costante incremento nello sfruttamento delle vulnerabilità basate sull’IoT. La semplicità nell’aggiornamento del codice sorgente dei botnet come il Mirai per sfruttare tali vulnerabilità incide notevolmente in questo senso. La capacità di creare botnet di grandi dimensioni in tempi brevissimi e con risorse minime è alla base della tendenza alla crescita mostrata dai botnet IoT.
Copia & Incolla: perché questo titolo? Perché i contenuti di questa categoria sono stati pubblicati SENZA ALCUN INTERVENTO DELLA REDAZIONE. Sono comunicati stampa che abbiamo ritenuto in qualche modo interessanti, ma che NON SONO PASSATI PER ALCUNA ATTIVITÀ REDAZIONALE e per la pubblicazione dei quali Tech Economy NON RICEVE ALCUN COMPENSO. Qualche giornale li avrebbe pubblicati tra gli articoli senza dire nulla, ma noi riteniamo che non sia corretto, perché fare informazione è un’altra cosa, e li copiamo ed incolliamo (appunto) qui per voi.
Facebook Comments