Gli hacker sfidano la sicurezza dei dispositivi IoT

M2MNetworkSecurity managementSicurezza

Ritardi negli aggiornamenti, alto numero di dispositivi IoT collegati a Internet vulnerabili anche alle minacce meno recenti e l’idea che i dispositivi IoT una volta accesi possano essere abbandonati sono alla base della possibilità per gli hacker di disporre velocemente di botnet, l’analisi sicurezza di Netscout Systems

Netscout Systems si occupa di servizi di business digitale contro interruzioni di disponibilità, performance e sicurezza, al centro della sua proposta la combinazione di tecnologie brevettate di dati intelligenti con gli smart analytics, per fornire visibilità pervasiva e in tempo reale, insights per tutti i client che hanno bisogno di accelerare e proteggere la propria trasformazione digitale.

Così le soluzioni di service assurance nGenius forniscono analisi in tempo reale del servizio, della rete e delle prestazioni delle applicazioni mentre le soluzioni di sicurezza Arbor proteggono dagli attacchi DDoS che minacciano la disponibilità e dalle minacce avanzate che si infiltrano nelle reti per rubare risorse aziendali critiche.

Netscout propone una fotografia interessante sugli scenari di implementazione delle tecnologie IoT in relazione alle problematiche di sicurezza. In sintesi, ne catturiamo le evidenze.

Concluso ormai il 2018 e agli albori del 2019, siamo testimoni di un costante incremento nello sfruttamento delle vulnerabilità basate sull’IoT.

La mappa di brute-forcers telnet: i principali paesi sono Russia, Cina, Brasile, Stati Uniti e Corea del Sud, rispettivamente. Gli attacchi a forza bruta restano strategici e facili da portare a termine in ambito IoT

La semplicità nell’aggiornamento del codice sorgente dei botnet come il Mirai per sfruttare tali vulnerabilità incide notevolmente in questo senso e la capacità di creare botnet di grandi dimensioni in tempi brevissimi e con risorse minime resta alla base della tendenza alla crescita mostrata dai botnet IoT.

Gli autori di botnet per IoT si stanno adeguando alla sempre maggiore sicurezza dei dispositivi: per questo l’azione viene ora deviata verso lo sfruttamento delle vulnerabilità presenti in tali dispositivi IoT che va quindi ad integrarsi alle attività di accesso alle password predefinite in fabbrica o a soppiantarle completamente.

La sicurezza dei dispositivi IoT, oggi, è decisamente ancora in fase embrionale, e non è inconsueto che si presentino vulnerabilità basilari quali il command injection. Per esempio, a novembre 2018 honeypot ha registrato lo sfruttamento di numerose vulnerabilità IoT obsolete quale strumento di diffusione di malware.

Dai dati raccolti emerge quindi che i nuovi dispositivi IoT subiscono in meno di un giorno il tentativo di fare leva sulle vulnerabilità note e sono soggetti in meno di 5 minuti a tentativi di accesso con forza bruta mediante le credenziali IoT predefinite (Dipping Into The Honeypot.)

Assistiamo quindi all’affiancamento nella capacità di sfruttare le vulnerabilità IoT con le attività consuete di attacco a forza bruta. Mentre si constata come le vulnerabilità correlate all’IoT restino validi vettori di attacco per periodi prolungati per via delle difficoltà e della lentezza nello sviluppo di patch per i dispositivi IoT.

Infine, si registra che i primi tentativi di attacchi di forza bruta iniziano già appena dopo meno di cinque minuti dalla prima connessione alla rete del dispositivo IoT. Nel giro di ventiquattro ore gli stessi dispositivi iniziano quindi a subire tentativi di sfruttamento delle vulnerabilità note.

Le vulnerabilità IoT hanno permesso poi agli autori di botnet di incrementare la presenza quantità di dispositivi nei rispettivi botnet. Pensiamo anche solo alle varianti di Mirai che contenevano vulnerabilità specifiche dell’IoT. Nei dati degli honeypot Netscout si evidenziano tempistiche rapidissime tra il momento in cui una vulnerabilità viene resa nota a quello in cui gli autori di botnet la integrano nelle proprie reti botnet.

Si nota una corrente costante di vulnerabilità correlate all’IoT sia nuove che datate rispetto agli honeypot esterni. Sono due i motivi fondamentali per cui i tentativi di sfruttare le vulnerabilità IoT meno recenti siano ancora frequenti. In primo luogo, i dispositivi IoT possono restare “parcheggiati” negli scaffali per settimane prima di essere acquistati.

Nel caso venga distribuita la release di un aggiornamento della sicurezza per tali dispositivi, chiaramente le nuove misure di sicurezza non entrano in funzione finché non si provvede all’aggiornamento del software.

Di conseguenza, il dispositivo appena messo in funzione è vulnerabile. Al momento del collegamento, la vulnerabilità del dispositivo IoT può quindi essere sfruttata rapidamente. I dati di honeypot mostrano che soltanto cinque minuti dopo il collegamento a Internet del dispositivo, qualcuno inizia a effettuarne la scansione e a tentare l’accesso con forza bruta. Il secondo motivo è la lentezza sconfortante con cui i dispositivi IoT ricevono le patch.

Questi dispositivi, infatti, vengono considerati strumenti da azionare e abbandonare a sé stessi. Quando è l’ultima volta che avete aggiornato la vostra videocamera IP oppure il modem cablato?

Osservando i dati honeypot nel mese di novembre Netscout ha riscontrato una serie enorme di attività legate allo sfruttamento di Hadoop YARN come descritto in “Mirai: Not Just For IoT Anymore”.

Nell’ambito degli assalti legati alle richieste ad Hadoop YARN è stato notato un insieme di vulnerabilità IoT più obsolete quali CVE-2014-8361, CVE-2015-2051, CVE-2017-17215 e CVE-2018-10561. QUindi CVE-2017-17215 è stata impiegata anche in numerosi botnet IoT di alto profilo.

Tale vulnerabilità è stata resa pubblica nel dicembre 2017 con un’attività di ricerca pubblicata su exploit-db il 25 dicembre 2017. Poiché le patch per i dispositivi IoT vengono rilasciate a passo di lumaca, i botnet IoT continuano a fare leva sulle vulnerabilità meno recenti che permettono di mettere a segno un alto numero di attacchi. L’uso continuativo di queste vulnerabilità comprovate e reali evidenzia che, in ambito di botnet IoT, “il vecchio è sempre attuale”.

In sintesi, ecco dove si vuole mettere l’accento e quali criticità andrebbero colmate.

I dispositivi IoT prima o poi ricevono patch, ma non con la stessa rapidità né allo stesso livello di priorità di cui godono i sistemi operativi. Di conseguenza, la longevità e la sfruttabilità delle vulnerabilità basate sull’IoT sono di gran lunga più estese e allettanti per gli autori di botnet. Questa tendenza è evidente nei dati honeypot.

Considerato l’enorme numero di dispositivi IoT collegati a Internet, è facile e immediato trovarne di vulnerabili. Se a questo si aggiunge l’ampio delta costituito da quando il dispositivo vulnerabile viene “acceso” e da quando vengono applicati gli aggiornamenti per le vulnerabilità legate alla sicurezza, è evidente che gli aggressori riescono a organizzare rapidamente botnet considerevoli. Nella maggior parte dei casi questi botnet sono subito reclutati nell’esercito dei DDoS. Infatti, non occorrono sforzi titanici per creare botnet IoT di grandi dimensioni e, quindi, generare il caos come dimostrato dagli attacchi DDoS sferrati da Mirai nel 2016.

Read also :
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore