Internet Rzeczy sprawił, że stare ataki znów są groźne na nowych urządzeniach

Prawie pół miliarda urządzeń działających w miejscach pracy jest podatnych na cyberataki. To jednak nie liczba urządzeń jest problemem, a fakt, że nasze bezpieczeństwo naraża luka mająca już 10 lat. Niepokojącym raportem podzieliła się firma Armis dostarczająca oprogramowanie zabezpieczające dla IoT (Internet of Things) dla biznesu.

496 milionów podatnych urządzeń to żaden rekord. Ta sama firma upubliczniła już bardziej „liczne” raporty – na przykład atak BlueBorne, na który podatnych było lekko licząc 5 miliardów urządzeń. Exploit DND rebinding, o którym teraz mowa to żadna konkurencja.

Problemem jest jego wiek. Atak DNS rebinding jest dobrze znany, a po raz pierwszy został zaprezentowany podczas RSA Conferencje w 2008 roku. Atakujący może obejść zaporę sieciową i wykorzystać przeglądarkę ofiary, by dostać się do innych urządzeń w sieci lokalnej. Dostęp do przeglądarki można uzyskać na różne sposoby, choćby przez złośliwy banner na stronie albo odnośnik wysłany e-mailem. Zaatakowane urządzenie będzie podatne na przenikanie danych albo przejęcie umożliwiające przyłączenie go do botnetu (podobnie działał atak Mirai w 2016 roku).

O podatności na DNS Rebinding urządzeń IoT ostrzegali w czerwcu badacze uniwersyteccy i niezależny specjalista Brannon Dorsey. Wtedy jednak skupili się oni na popularnych urządzeniach domowych jak głośniki Wi-Fi firmy Sonos, Google Home czy routery. Dorsey przyznał wtedy, że przypuszcza, iż podatnych jest dużo więcej urządzeń. Jeśli wrażliwe są tak popularne urządzenia, produkowane przez firmy z czołówki branży, mniejsi i mniej doświadczeni producenci na pewno mają podobne problemy.

Dorsey się nie mylił. Raport firmy Armis podaje, że na 10-letni atak podatnych jest 87 proc. routerów i switchy działających w biurach, 78 proc. odtwarzaczy streamujących, 77 proc. telefonów IP, 75 proc. kamer IP, 66 proc. drukarek sieciowych i 57 proc. smarttelewizorów. Korzystając z ogólnodostępnych danych o sprzedaży specjaliści oszacowali liczbę takich urządzeń biurowych na łącznie 496 milionów, ale to prawdopodobnie optymistyczne założenie. Lista producentów wrażliwych urządzeń jest długa i powiadomienie wszystkich okazało się bardzo trudne.

Jedną z cech rozpoznawczych nieodpornego oprogramowania jest niezabezpieczony serwer www, oczywistą furtką ułatwiającą atak będzie też domyślne hasło zabezpieczające. Poważnym problemem jest też brak możliwości instalacji dodatkowych programów zabezpieczających na tych urządzeniach (w większości są to systemy agentless), a najwyraźniej jest to potrzebne.

Na szczęście na razie nie udokumentowano żadnych ataków wykorzystujących opisaną technikę. Warto jednak zabezpieczyć się przed nimi na zapas. Armis zaleca wprowadzenie filtrowania DNS w firmowych sieciach, wprowadzenie losowych haseł oraz solidną inwentaryzację. W międzyczasie okazało się bowiem, że nawet lepiej zorientowanych pracowników firm zaskakuje ilość podłączonych do sieci urządzeń. Winny jest nie tylko rozwój Internetu Rzeczy, ale też coraz większa popularność pracy zdalnej i możliwość przynoszenia własnych urządzeń przez pracowników. Nic dziwnego, że tradycyjne zabezpieczenia przestają działać, a sieci wymykają się spod kontroli. Majowe badanie wykazało, że niewiele firm podejmuje kroki, by się w pełni zabezpieczyć.

Wydawać by się mogło, że autorzy oprogramowania sieciowego mają już dostatecznie dużo doświadczenia, by nie wpadać w tak proste pułapki. Jednak, jak pokazuje przytoczony raport, nowe urządzenia mogą masowo wskrzeszać stare luki i ponownie umożliwiać znane już ataki. Ponieważ mówimy o routerach, głośnikach, telewizorach czy innym sprzęcie użytku domowego, a nie o typowych komputerach roboczych, to dla wielu osób takie podatności są sporym zaskoczeniem.