Um esquema de exploração de um sistema de automação de construções (BAS) pode permitir que os invasores assumam o controle de dispositivos circuitados pelo protocolo KNX está sendo usado em ataques in-the-wild contra alvos comerciais, de acordo com um novo relatório da ESET.
Como é comum em outros esquemas de comprometimento de dispositivos industriais, este envolvimento também envolve a infecção de computadores pelo malware Ponyfinal, um RAT que geralmente é implantado em redes pelo backdoor CrimeBoss.
Os sistemas automatizados da construção podem incluir controladores para iluminação, sistemas de ar condicionado, aquecimento, ventilação e segurança, entre outras coisas. O protocolo KNX é o padrão para maquinário de automação da construção em mais de 140 países e é suportado por mais de 400 fabricantes.
O protocolo é definido e mantido pelo KNX Association e é geralmente considerado seguro, mesmo que não haja criptografia envolvida. No entanto, pesquisadores de segurança já demonstraram que é possível explotar vulnerabilidades para assumir o controle de dispositivos KNX.
Em 2015, por exemplo, a Guardicore Labs e a SektionEins divulgaram detalhes sobre um ataque que permitia que os invasores manipulassem de forma remota luzes connected à web, portas e outros dispositivos de automação da construção. Em 2017, a ESET também descreveu um esquema que usou o protocolo KNX para escrutinar o tráfego em redes e manipular o tráfego para obter acesso às máquinas alvo.
O esquema de comprometimento recentemente descrito pela ESET envolve a exploração de tickets de sessão inválidos, uma técnica que já foi documentada no passado. A vulnerabilidade afeta controladores de sistema de automação da construção, e um atacante pode usar o acesso para interagir com o dispositivo e obter informações sobre a rede, além de injetar comandos que podem ser executados pelo protocolo KNX.
Além do protocolo KNX, o Ponyfinal malware também interage com sistemas de automação para aquecimento e controle de clima Honeywell, Schneider Electric e Siemens.
Sistema Defesa Civil Alerta é suspenso após 12 alertas falsos com a palavra "misantropia" serem…
Thalha Jubair e Owen Flowers confessaram envolvimento no ataque de 2024 contra a TfL, que…
JFrog descobre três pacotes npm publicados pelo usuário "abdrizak" que fingem ser utilitários PostCSS, instalam…
Novo guia técnico explica passo a passo como atacantes transformam o recurso administrativo Distributed COM…
Anunciamos o lançamento do Plugged Ninja AI (plugged.ninja/ai), nova vertical do site dedicada a explicar…
Pesquisadores da Wake Forest University analisaram 444 aplicativos iOS com funcionalidade LLM e identificaram 282…