Nova vulnerabilidade pode colocar dispositivos IoT em risco
A sociedade depende tanto da tecnologia que o número de dispositivos conectados à Internet usados globalmente deve crescer para 55,9 bilhões até 2025.
A sociedade depende tanto da tecnologia que o número de dispositivos conectados à Internet usados globalmente deve crescer para 55,9 bilhões até 2025. Muitos desses dispositivos abrangem partes dos Sistemas de Controle Industrial (ICS) que impactam o mundo físico e nos ajudam em nossas vidas diárias em casa, monitore e automatize tudo, desde o uso de energia à manutenção da máquina no trabalho. O potencial de abuso desses sistemas já chamou a atenção dos cibercriminosos; de acordo com o Índice de Inteligência de Ameaças da IBM X-Force 2020 , os ataques contra esses sistemas aumentaram mais de 2.000% desde 2018.
Como parte de sua pesquisa em andamento, a equipe de hackers da IBM, X-Force Red , descobriu uma nova vulnerabilidade de IoT que pode ser explorada remotamente. O fabricante, Thales, disponibilizou um patch para CVE-2020-15858 para clientes desde fevereiro de 2020 e o X-Force Red tem trabalhado em conjunto para garantir que os usuários estejam cientes do patch e tomando medidas para proteger seus sistemas.
Dos bilhões de dispositivos inteligentes em uso hoje, a Thales é um dos principais fabricantes de componentes que permitem que eles se conectem à Internet, armazenem informações com segurança e verifiquem identidades. Todo o portfólio da Thales conecta mais de 3 bilhões de coisas a cada ano e mais de 30.000 organizações contam com suas soluções para tudo, desde medidores de energia inteligentes a dispositivos de monitoramento médico e carros.
No entanto, em setembro de 2019, o X-Force Red descobriu uma vulnerabilidade no módulo Cinterion EHS8 M2M da Thales (anteriormente Gemalto) usado em milhões de dispositivos conectados à Internet na última década. Após mais testes, a Thales confirmou que esta vulnerabilidade afeta outros módulos dentro da mesma linha de produtos do EHS8 (BGS5, EHS5 / 6/8, PDS5 / 6/8, ELS61, ELS81, PLS62), expandindo ainda mais o impacto potencial desta vulnerabilidade . Esses módulos são miniplacas de circuito que permitem a comunicação móvel em dispositivos IoT.
Mais importante ainda, eles armazenam e executam código Java, muitas vezes contendo informações confidenciais, como senhas, chaves de criptografia e certificados. Usando informações roubadas dos módulos, agentes mal-intencionados podem potencialmente controlar um dispositivo ou obter acesso à rede de controle central para conduzir ataques generalizados – até mesmo remotamente via 3G em alguns casos. Usando essa falha, os invasores podem potencialmente instruir medidores inteligentes para interromper a eletricidade de uma cidade ou até mesmo overdose de um paciente médico, desde que os dispositivos responsáveis por essas funções críticas estejam usando um módulo não corrigido exposto a um invasor, por exemplo, através do 3G / Conexão 4G habilitada por este módulo.
Sobre a vulnerabilidade
O módulo EHS8, e os outros em sua linha, são projetados para permitir comunicações seguras entre dispositivos conectados via redes 3G / 4G. Pense neste módulo como o equivalente a um cofre digital confiável, onde as empresas podem armazenar com segurança uma variedade de segredos, como senhas, credenciais e código operacional. Essa vulnerabilidade prejudica essa função, permitindo que invasores roubem segredos organizacionais.
O X-Force Red descobriu uma maneira de contornar as verificações de segurança que mantêm arquivos ou código operacional ocultos de usuários não autorizados. Essa vulnerabilidade pode permitir que os invasores comprometam milhões de dispositivos e acessem as redes ou VPNs que oferecem suporte a esses dispositivos por meio do pivô na rede de back-end do provedor. Por sua vez, propriedade intelectual (IP), credenciais, senhas e chaves de criptografia podem estar prontamente disponíveis para um invasor. Dito de outra forma, as informações confidenciais armazenadas pelo módulo podem não ser mais confidenciais. Os invasores podem até mesmo pegar o código do aplicativo para alterar completamente a lógica e manipular os dispositivos.
Qual é o impacto potencial?
O impacto potencial dessa vulnerabilidade varia com base em quais dispositivos que usam essa linha de módulos os invasores podem comprometer. Entende-se que existem milhões de dispositivos em todo o mundo usando este módulo, nas indústrias automotiva, médica, energética e de telecomunicações.
Dada a natureza crítica de muitos desses dispositivos, um ataque cibernético direcionado pode ser significativo. Aqui estão alguns exemplos do que um invasor pode fazer se um módulo sem patch for exposto em vários tipos de dispositivos:
- Dispositivos médicos: manipule as leituras dos dispositivos de monitoramento para encobrir os sinais vitais ou criar um falso pânico. Em um dispositivo que fornece tratamento com base em suas entradas, como uma bomba de insulina, os cibercriminosos podem dose excessiva ou insuficiente de pacientes.
- Energia e serviços públicos: comprometa medidores inteligentes para fornecer leituras falsas que aumentam ou reduzem a conta mensal. Com acesso a um grande grupo desses dispositivos por meio de uma rede de controle, um agente malicioso também poderia desligar medidores de uma cidade inteira, causando blecautes de grande alcance que exigem visitas de reparo individuais ou, pior ainda, danos à própria rede.
Detalhes técnicos
O módulo EHS8, assim como os demais módulos da linha, é composto por um microprocessador com interpretador Java ME ™ embutido e armazenamento flash – além de interfaces GSM, GPIO, ADC, Áudio Digital e Analógico, GPS, I2C, SPI e USB. Ele também fornece pilhas de comunicações de nível superior, como PPP e IP. O ambiente Java integrado permite a instalação de ‘midlets’ Java para fornecer funcionalidade personalizável e interação com o dispositivo host e / ou para atuar como a lógica principal. O módulo se comporta de maneira muito semelhante a um modem ‘Hayes’ tradicional ao operar no nível de integrador OEM fundamental. Isso significa que, além do aplicativo Java carregado no sistema, ele pode ser controlado usando comandos seriais ‘AT’ por meio de uma conexão física UART embutida no circuito.
Na prática, isso significa que o aplicativo Java pode ser contornado e o controle devolvido ao nível inferior, permitindo que um invasor controle o módulo diretamente. Uma vez no controle da interface de comando AT, é possível emitir um grande número de comandos padrão, como ‘ATD’ – discar um número ou ‘ATI’ – mostrar informações do fabricante. Existem também vários comandos de configuração e um subconjunto específico de comandos para acessar um sistema de arquivos rudimentar sobreposto na memória flash – ‘AT ^ SFA’. Isso permite a leitura, gravação, exclusão e renomeação de arquivos e subdiretórios.
Para facilitar o ambiente Java, também há vários comandos relacionados ao Java, um dos quais ‘instala’ um midlet Java carregado anteriormente no sistema de arquivos flash. Isso copia efetivamente o código Java para um ‘armazenamento seguro’ dentro do sistema de arquivos flash, que teoricamente é ‘somente gravação’ – ou seja, os dados podem ser copiados para ele, mas nunca lidos de volta. Dessa forma, um código Java privado do OEM contendo seu IP, bem como quaisquer arquivos relacionados à segurança, como chaves PKI ou certificados e bancos de dados relacionados a aplicativos, são protegidos contra roubo por terceiros.
No entanto, a vulnerabilidade descoberta pelo X-Force Red permite o acesso total de leitura, gravação e exclusão à área oculta (embora a Thales tenha feito verificações adicionais para tipos de arquivo específicos). Isso permitiria a um invasor ler o código Java completo em execução no sistema (ambos os midlets OEM e o código ‘mestre’ principal da Thales), bem como quaisquer outros arquivos de suporte ‘ocultos’ que possam ter.
Como o Java é facilmente revertido para código legível por humanos, isso poderia expor a lógica completa de qualquer aplicativo, bem como quaisquer ‘segredos’ incorporados, como senhas, chaves criptográficas, etc. e torna o roubo de IP uma operação muito simples. Armados com esses dados, os invasores podem facilmente criar dispositivos ‘clonados’ ou, de forma alarmante, modificar a funcionalidade para permitir atividades fraudulentas ou maliciosas.
Figura 1. Lista de códigos com vulnerabilidade
A figura acima mostra onde existe a vulnerabilidade no código que conta o número de caracteres na substring do caminho e verifica se o quarto caractere é um ponto (terceiro indexado na matriz de caracteres). Em circunstâncias normais, qualquer tentativa de acessar arquivos ocultos com um prefixo de ponto será negada (exemplo: a: / .arquivo_oculto). No entanto, substituir a barra por barra dupla (exemplo: a: //.file_hidden) fará com que a condição falhe e a execução do código irá pular para um loop de verificação de caractere que corresponderá a qualquer caractere imprimível. Após a segunda barra, que será ignorada pelo sistema, nada impede que um invasor use o nome do arquivo com o prefixo de ponto, ignorando a condição de teste de segurança.
Divulgação Responsável e Remediação
Assim que essa vulnerabilidade foi descoberta, ela foi imediatamente relatada à Thales, que trabalhou com a equipe do X-Force Red para testar, criar e distribuir um patch para seus clientes em fevereiro de 2020.
O patch pode ser administrado de duas maneiras – conectando um USB para executar uma atualização via software ou administrando uma atualização over the air (OTA). O processo de patch para esta vulnerabilidade depende completamente do fabricante do dispositivo e de seus recursos – por exemplo, se o dispositivo tem acesso à Internet pode complicar o seu trabalho. Outro item a ser observado é que quanto mais regulamentado for um dispositivo (dispositivos médicos, controles industriais, etc.), mais difícil será a aplicação do adesivo, pois isso pode exigir a recertificação, um processo muitas vezes demorado.
Queremos elogiar a Thales por lidar com essa falha e por passar um tempo significativo trabalhando com os clientes para garantir que eles estivessem cientes dos patches e tomando as medidas necessárias para proteger seus usuários. Mais informações sobre CVE-2020-15858 podem ser encontradas em https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15858 .
O que o X-Force Red sugere
Considerando as implicações potenciais significativas desta vulnerabilidade, o X-Force Red oferece as seguintes etapas para atenuar os riscos e resolver o problema imediatamente:
- Aplique o patch: os fabricantes de dispositivos que usaram os módulos afetados precisam seguir as orientações fornecidas pela Thales e oferecer atualizações de firmware o mais rápido possível. E os usuários de dispositivos precisam instalar essas atualizações imediatamente, ao mesmo tempo que garantem que estão usando a versão mais recente do módulo.
- Repense o que você armazena: Use este momento para pensar sobre quais informações estão sendo armazenadas nesses dispositivos e se podem ser armazenadas em outro lugar com mais segurança.
- Aplicar práticas de análise comportamental: Considere as credenciais de login como apenas uma camada de segurança e analise os usuários e dispositivos para identificar comportamentos incomuns. Dessa forma, mesmo que um cibercriminoso roube essas credenciais, haverá mecanismos para ajudar a identificá-los e impedi-los.
- Certifique-se de que a IoT esteja no radar de sua equipe de segurança: Use um serviço de gerenciamento de ameaças, que permite que as equipes de segurança entendam melhor seus ambientes e respondam a ameaças contra dispositivos não gerenciados.
- Contrate um hacker: conduza testes regulares de penetração em sua empresa e dispositivos que identificam e ajudam a corrigir vulnerabilidades em suas operações. Procure equipes que ofereçam uma ampla variedade de serviços de teste, incluindo teste de hardware e software, para garantir que você esteja totalmente coberto.
Informações sobre esta vulnerabilidade e outras pesquisas serão apresentadas durante o evento virtual Red Con 2020 da X-Force Red, que ocorrerá em 19 de agosto. Para obter mais informações e se inscrever, visite a página do evento Red Con .
