Um esquema de exploração de um sistema de automação de construções (BAS) pode permitir que os invasores assumam o controle de dispositivos circuitados pelo protocolo KNX está sendo usado em ataques in-the-wild contra alvos comerciais, de acordo com um novo relatório da ESET.
Como é comum em outros esquemas de comprometimento de dispositivos industriais, este envolvimento também envolve a infecção de computadores pelo malware Ponyfinal, um RAT que geralmente é implantado em redes pelo backdoor CrimeBoss.
Os sistemas automatizados da construção podem incluir controladores para iluminação, sistemas de ar condicionado, aquecimento, ventilação e segurança, entre outras coisas. O protocolo KNX é o padrão para maquinário de automação da construção em mais de 140 países e é suportado por mais de 400 fabricantes.
O protocolo é definido e mantido pelo KNX Association e é geralmente considerado seguro, mesmo que não haja criptografia envolvida. No entanto, pesquisadores de segurança já demonstraram que é possível explotar vulnerabilidades para assumir o controle de dispositivos KNX.
Em 2015, por exemplo, a Guardicore Labs e a SektionEins divulgaram detalhes sobre um ataque que permitia que os invasores manipulassem de forma remota luzes connected à web, portas e outros dispositivos de automação da construção. Em 2017, a ESET também descreveu um esquema que usou o protocolo KNX para escrutinar o tráfego em redes e manipular o tráfego para obter acesso às máquinas alvo.
O esquema de comprometimento recentemente descrito pela ESET envolve a exploração de tickets de sessão inválidos, uma técnica que já foi documentada no passado. A vulnerabilidade afeta controladores de sistema de automação da construção, e um atacante pode usar o acesso para interagir com o dispositivo e obter informações sobre a rede, além de injetar comandos que podem ser executados pelo protocolo KNX.
Além do protocolo KNX, o Ponyfinal malware também interage com sistemas de automação para aquecimento e controle de clima Honeywell, Schneider Electric e Siemens.
IA está comprimindo a janela entre divulgação e exploração a ponto de ficar negativa. A…
Operação NoVoice espalhou-se por mais de 50 apps do Google Play e explorou falhas antigas…
Grupo Inc reivindica ataque contra a prefeitura de Meriden, Connecticut. A cidade desligou serviços e…
A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no…
BlueHammer é um zero‑day LPE que explora o Windows Defender e eleva um usuário comum…
Drift Protocol suspendeu depósitos e saques após ataque na Solana. Estimativas apontam perdas entre US$…