Um esquema de exploração de um sistema de automação de construções (BAS) pode permitir que os invasores assumam o controle de dispositivos circuitados pelo protocolo KNX está sendo usado em ataques in-the-wild contra alvos comerciais, de acordo com um novo relatório da ESET.
Como é comum em outros esquemas de comprometimento de dispositivos industriais, este envolvimento também envolve a infecção de computadores pelo malware Ponyfinal, um RAT que geralmente é implantado em redes pelo backdoor CrimeBoss.
Os sistemas automatizados da construção podem incluir controladores para iluminação, sistemas de ar condicionado, aquecimento, ventilação e segurança, entre outras coisas. O protocolo KNX é o padrão para maquinário de automação da construção em mais de 140 países e é suportado por mais de 400 fabricantes.
O protocolo é definido e mantido pelo KNX Association e é geralmente considerado seguro, mesmo que não haja criptografia envolvida. No entanto, pesquisadores de segurança já demonstraram que é possível explotar vulnerabilidades para assumir o controle de dispositivos KNX.
Em 2015, por exemplo, a Guardicore Labs e a SektionEins divulgaram detalhes sobre um ataque que permitia que os invasores manipulassem de forma remota luzes connected à web, portas e outros dispositivos de automação da construção. Em 2017, a ESET também descreveu um esquema que usou o protocolo KNX para escrutinar o tráfego em redes e manipular o tráfego para obter acesso às máquinas alvo.
O esquema de comprometimento recentemente descrito pela ESET envolve a exploração de tickets de sessão inválidos, uma técnica que já foi documentada no passado. A vulnerabilidade afeta controladores de sistema de automação da construção, e um atacante pode usar o acesso para interagir com o dispositivo e obter informações sobre a rede, além de injetar comandos que podem ser executados pelo protocolo KNX.
Além do protocolo KNX, o Ponyfinal malware também interage com sistemas de automação para aquecimento e controle de clima Honeywell, Schneider Electric e Siemens.
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
O grupo APT28, ligado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques…