I dispositivi IoT compromessi hanno rappresentato uno dei pericoli maggiori alla cybersecurity per i primi due trimestri del 2020, a causa del loro utilizzo in attacchi DDoS sempre più devastanti e massivi.
L'avvento dei dispositivi IoT ha determinato un vero e proprio balzo in avanti del numero di attacchi DDoS registrati rispetto a pochi anni fa e ha ampliato moltissimo i vettori di attacco: i dispositivi IoT mancano di potenza sufficiente per dare vita ad attacchi massivi, quindi gli attaccanti hanno dovuto puntare ad aumentare il numero di quelli infetti. A titolo esemplificativo ricordiamo l'attacco DDoS più rilevante nella storia recente, quello contro GitHub: sono state registrate 290.000 richieste al minuto per 13 giorni consecutivi. Hanno partecipato all'attacco più di 400.000 dispositivi IoT infetti.
Centinaia di migliaia di dispositivi quindi, anche se meno potenti rispetto a server e pc, sono infettati quindi inseriti nella botnet e comandati da remoto affinchè producano attacchi DDoS coordinati: gioco facile per gli attaccanti, più che attaccare server e pc, dato l'ormai annoso problema della scarsissima sicurezza informatica degli IoT. E se consideriamo che dati recenti quantificano in 22 miliardi il numero di IoT presenti nel mondo, con un mercato in costante crescita che dovrebbe raggiungere i 41,6 miliardi di dollari nel 2025, si capisce velocemente come questa minaccia possa trasformarsi in un incubo nel giro di pochi anni.
La botnet Mirai
Molte delle minacce contro i dispositivi IoT sono varianti basate sul famigerato malware Mirai (ne abbiamo già parlato qui, qui e qui) che esiste già da qualche anno ma il cui impatto si è fatto significativo a partire dal 2016, quando iniziò ad infettare centinaia di migliaia di router e videoregistratori.
Dal 2016 in poi si è sviluppata una vera e propria corsa, da parte dei cyber attaccanti, per dotare questo malware di quanti più exploit IoT possibile, cercando nuove vulnerabilità e continuando a sfruttare quelle vecchie, dato che raramente i vendor pubblicano patch e altrettanto raramente gli utenti si occupano di eseguire gli aggiornamenti. Dal 2018 in poi la botnet Mirai è stata messa in affitto nel dark web, quando la potenza di fuoco disponibile (quindi il numero di dispositivi IoT infetti) ha reso possibile l'affitto dell'infrastruttura completa o a porzioni per più attacchi minori.
Le quattro nuove varianti
Le quattro nuove varianti del malware Mirai sono state identificate dai ricercatori di sicurezza della Unit42 di Palo Alto Network, società di cyber sicurezza che studia e monitora la botnet Mirai dal lontano 2016. Le quattro nuove varianti sono state individuate nel corso di due recenti campagne finalizzate all'aumento del numero di bot della botnet: una volta ottenuto l'accesso ai dispositivi tramite exploit di vulnerabilità, viene distribuito il malware Mirai.
Le 4 nuove varianti portano con sé il codice di exploit per due nuove vulnerabilità, sfruttate come vettori di attacco per distribuire Mirai. Se l'exploit riesce, l'utiliy wget viene richiamata per scaricare uno shell script dall'infrastruttura del malware. Lo shell script scarica molteplici binari Mirai, che differiscono tra loro per l'architettura alla quale sono destinati: questi binari sono eseguiti uno per uno.
Il primo exploit bersaglia una vulnerabilità cosiddetta di "command injection" in un web service con la funzione di impostazione server NTP. Il servizio fallisce nella sanitizzazione del valore HTTP nel parametro NTP_SERVER, quindi rende all'attaccante di poter eseguire comandi arbitrari da remoto.
Grazie alle indicazioni acquisite sul traffico di attacco, i ricercatori hanno capito che il nuovo exploit si limita ad alcuni dispositivi IoT noti per sincronizzare l'ora tramite HTTP. Hanno però anche rilevato diverse routine di gestione del server NTP vulnerabili nel firmware di alcuni dispositivi, che è poi uno dei motivi principali per il quale questo tipo di firmware è stato abbandonato da alcuni vendor, mentre altri continuano ad utilizzarlo.
L'altro exploit invece è ancora oscuro ai ricercatori, ma sembra destinato a sfruttare una mancata sanitizzazione del parametro HTTP per fare command injection. Le informazioni raccolte sono comunque ancora troppo poche per farsi un quadro chiaro.
Le quattro nuove varianti implementano questi due nuovi exploit, ma restano diversi per origine e configurazione: in ogni caso sono accomunate dalla capacità di lanciare attacchi DDoS. Possono infettare i sistemi usando Andoird Debug Bridge shell e le seguenti vulnerabilità:
- CVE-2019-14931
- Fastweb Fastgate RCE
- ASUS RT-AC66U RCE
- HomeMatic Zentrale CCU2 RCE
- EnGenius RCE
- CVE-2013-2251
- CVE-2015-1187
- Netlink GPON Router RCE
- ThinkPHP RCE
- D-Link Router RCE
- CVE-2020-5722
- Vacron NVR RCE
- CVE-2019-16920
- CVE-2019-10655
- Netgear RCE
- CVE-2020-8515
- CVE-2017-18377
- Edimax EW-7438RPn RCE
- CVE-2020-1956
- CVE-2018-17173
- CVE-2019-19356
- 3Com OfficeConnect RCE
- CVE-2018–13023
- NUUO NVRmini RCE
- CVE-2019-7276
- CVE-2018-19276
- CVE-2011-3587
- Multiple IoT RCE
- CVE-2016-6277
- Sar2HTML RCE
- CVE-2018-7841
- CVE-2019-16057
- CCTV-DVR RCE
Il report completo della Unit42 è disponibile qui.
Nessun commento:
Posta un commento