venerdì 16 febbraio 2018

Dispositivi IoT: ecco il worm DoubleDoor per attacchi mirati.


Questo 2018 offre e offrirà scenari inediti per la cyber sicurezza. L'avvento dei malware per il mining di cirptovaluta è una di queste novità, ma non è l'unica. I dispositivi IoT, lo abbiamo scritto molte volte, hanno gravissime pecche di sicurezza e, considerando la loro diffusione capillare, aumentano infinitamente il potenziale di rischio. L'uso di password di default, i pochissimi aggiornamenti e update dei firmware resi disponibili dai vendor e molti altri problemi rendono i dispositivi IoT dei bersagli mobili. Non è un caso che moltissime botnet, usate in campagne di spam ma anche per attacchi DDoS, siano composte quasi interamente di dispositivi IoT. Fino ad ora va detto però che, essendo veramente deboli le difese di questi dispositivi, anche le modalità di attacco erano piuttosto elementari: scansioni a tappeto su Internet per individuare quelli esposti, utilizzo di exploit spessissimo con banalissime credenziali di default e il dispositivo IoT diventa un bot reclutato in una botnet. 

Una nuova minaccia...
Le tecniche di attacco fino ad oggi però avevano una "pecca": gli utenti che utilizzano firewall o impostazioni di segmentazione della rete, impedendo la connessione diretta ai dispositivi potenzialmente vulnerabili, risultavano al sicuro da questi attacchi. Ma la musica sta per cambiare.

E' stata individuata da NewSky Security una botnet che usa una tecnica di attacco in due mosse, pensata proprio per aggirare questo tipo di protezioni.Il malware responsabile della botnet si chiama DoubleDoor e sfrutta due diverse vulnerabilità:

  1. CVE-2015–7755, affligge Juniper Networks SmartScreen OS e consente al malware di entrare nella rete locale;
  2. CVE-2016–10401, colpisce invece i modem Zyxel e permette di installarvi una backdoor. 

Un test?
I ricercatori avvisano che queste nuove infezioni potrebbero in realtà essere dei test, in preparazione del lancio di una nuova botnet. Infatti alle infezioni, ad oggi, non sono seguiti attacchi. La botnet per ora sta solo reclutando, ma è verosimile pensare, dato l'alto potenziale di diffusione del malware (che ha la capacità di comportarsi e diffondersi come un worm), che a breve la potremo vedere all'opera. 

La brutta notizia
E' una strategia nuova di attacco, che segna un salto qualitativo non secondario. Apre infatti la strada a scenari futuri dove l'uso concatenato di più vulnerabilità potrebbe rendere estremamente difficile arginare il fenomeno delle botnet. 

Nessun commento:

Posta un commento