ZigBee zhakowane, ze Smart Home należy obchodzić się ostrożne

Jakiś czas temu znajomi licytowali się, jakie dziwne rzeczy przyszło im ostatnio „aktualizować”. Wgrywanie nowego oprogramowania do żarówki nie było hitem. Wygrał czajnik, choć teraz też by nikogo nie zaskoczył. Jednak gdy się zapomni o zaktualizowaniu firmwaru w żarówce, konsekwencje mogą być poważne.

Od żarówki ZigBee, przez bramkę po komputer

Przejmowanie kontroli nad prostymi urządzeniami IoT, których miliony są podpięte do internetu, nikogo nie dziwi. Jednak w tym przypadku wektorem ataku była pozornie niewinna żarówka, która nie miała bezpośrednio nawet dostępu do lokalnej sieci. Komunikowała się z bramką za pomocą protokołu ZigBee.

Jak informuje Check Point:

Nasi naukowcy skupili się na wiodących na rynku inteligentnych żarówkach i mostkach Philips Hue i znaleźli luki (CVE-2020-6007), które umożliwiły im infiltrację sieci za pomocą zdalnego wykorzystania podatności w protokole bezprzewodowym ZigBee o niskiej mocy, który jest używany do sterowania szeroką gamą urządzeń IoT.

Luka już została załatana w nowych produktach, a będące na rynku otrzymały aktualizację oprogramowania.

Tak przebiega atak za pomocą żarówki

1. Haker steruje żarówka, nad którą przejął kontrolę, aby oszukać użytkowników, dając im do myślenia, że żarówka ma usterkę. Żarówka pojawia się jako „Nieosiągalna” w aplikacji użytkownika, więc próbuje ją zresetować.
2. Jedynym sposobem na zresetowanie żarówki jest usunięcie jej z aplikacji, a następnie uruchomienie trybu parowania, aby ponownie ją podłączyć.
3. Mostek wyszuka „uszkodzoną” żarówkę, a użytkownik doda ją z powrotem do swojej sieci.
4. Żarówka kontrolowana przez hakerów ze zmodyfikowanym oprogramowaniem sprzętowym wykorzystuje następnie luki w protokole ZigBee do wywołania przepełnienia bufora na mostku, wysyłając do niego dużą ilość danych. Dane te umożliwiają również hakerowi zainstalowanie na moście złośliwego oprogramowania. Mostek jest podłączony do lokalnej sieci w domu lub biurze.
5. Złośliwe oprogramowanie łączy się z hakerem z powrotem i przy pomocy znanego exploita (np. EternalBlue [Windows]) może przeniknąć z mostu do docelowej sieci IP, aby zaszyfrować dyski i żądać okupu lub szpiegować.

Oto jak atak wygląda na filmie.

Przypomnę, że Apple żąda, aby akcesoria HomeKit działały bez dostępu do sieci oraz bez konieczności łączenia się z innymi akcesoriami w sieci lokalnej. Może on im być udzielony np. tylko gdy aktualizują samodzielnie oprogramowanie. Odcięcie akcesoriów od sieci zewnętrznej utrudnia przeprowadzenie wspomnianego ataku, choć nie uniemożliwia, nadal można kontrolować, jego przebieg łącząc się „przez żarówkę”. Dodatkowe odcięcie zbędnych urządzeń w sieci lokalnej, które będą realizować routery zgodne z HomeKit, uchroniłoby przynajmniej komputery przed kontaktem z zainfekowaną bramką.

Tak czy siak, nie zaniedbujcie aktualizowania Waszych urządzeń.