פרצת אבטחה בפרוטוקול Universal Plug and Play

הפרצה נקראת בשם Callstranger, מאפשרת גישה מרחוק למיארדי מכשירים חכמים, ולחטוף אותם ל Botnets שמסוגלים לבצע תקיפות מניעת שירות בהיקפים עצומים

bigstock

במהלך סוף השבוע האחרון פרסם חוקר אבטחה טורקי בשם Yunus Çadırcı על קיומה של פרצת אבטחה בפרוטוקול Universal Plug and Play. הפרצה נקראת בשם Callstranger, מאפשרת גישה מרחוק למיארדי מכשירים חכמים, ולחטוף אותם ל Botnets שמסוגלים לבצע תקיפות מניעת שירות בהיקפים עצומים. בנוסף, הפרצה מאפשרת להוציא באופן חשאי מידע מארגונים וכן לסרוק בחשאיות את הרשתות הארגוניות ולגלות התקנים ומחשבים שאינם חשופים לרשת האינטרנט.

בפשטות- הפרצה מאפשרת לתוקף חיצוני לנצל חולשה בפרוטוקול התקשורת, ולהירשם כ"מנוי" על התקשורת שיוצאת מהמכשיר ולנתב אותה לכל כתובת IP שירצה- גם מחוץ לארגון. כך ניתן בקלות "לעבוד" על המכשיר לשלוח כמויות מידע גדולות לכתובת מסויימת, ואם הדבר יבוצע ממספר רב של מכשירים במקביל, תיווצר התקפת מניעת שירות מבוזרת (DDoS-Distribute Denial of Service) שיכולה בקלות לפגוע בכל אדם פרטי, ארגון, אתר אינטרנט או אפילו בספקי שירותי אינטרנט.

החולשה פורסמה על ידי אוניברסיטת קרנגי-מלון והוכנה לבסיס הנתונים של החולשות CVE. כרגע, ועד שיצרני המכשירים לא יעדכנו גרסאות תוכנה, החולשה ניתנת לניצול, וארגונים יכולים להגן מפניה רק על ידי שינוי הגדרות תקשורת וחסימת בקשות Subscribe מגורמים חיצונים. 

החשיפה האחרונה מצטרפת לגל של ידיעות על עניין גובר של פושעי סייבר בבתים חכמים והתקנים חכמים. ברבעון הראשון לשנת 2020 אובחנה עלייה של 46% בכמות מתקפות סייבר על בתים חכמים והתקנים חכמים בחברות ומפעלים, כך דיווחה חברת המחקר Subex. מחקר נוסף מצא שכ-55% מההתקנים החכמים מוגנים בססמא "12345". רבים אחרים מוגנים בססמאות ברירת המחדל (ססמת יצרן, בדרך כלל Adnim) והתקנים רבים אינם מוגנים בססמא כלל.

מציאות המקלה על פושעים לפרוץ אליהם ו"לגייס" אותם לבוטנטים, מה שמסביר את הממצאים של חברת טרנד מיקרו שגילתה שהאקרים מוכרים וקונים גישה ל Botnets שמורכבים מאלפי התקנים חכמים שנפרצו. מכון המחקר פונמון מצא שרק כשליש מהארגונים מודעים לסיכוני הסייבר שטומנים בחום התקנים חכמים. אלו שכן, חוששים מכך שהמכשירים יפרצו וישמשו למתקפות מניעת שירות ללא ידיעת הארגון, או ששימשו פתח כניסה לפריצה לרשתות ארגוניות והוצאת מידע רגיש. 

"אנחנו חווים בשנה האחרונה יותר ויותר מתקפות שמכוונות למכשירים חכמים ומקושרים. ארגונים מבינים שיש להם בעיה בזיהוי של מכשירים כאלו (לדוגמא- מכשירים שעובדים מביאים מהבית ומחברים לרשתות ארגוניות- ידוע בשם Rogue Devices). בעקבות הצורך הזה, שעלה מהלקוחות שלנו, פיתחנו מודול שנשען על התוכנה שלנו שמותקנת על תחנות הקצה ועל ידי ניתוח התקשורת בין התחנות אנו מסוגלים לזהות התקנים כאלו ללא צורך בהתקנת חומרה או תוכנה ייעודית. לאחר שהמכשיר זוהה אנו מאפשרים ללקוח להפעיל עליו כללים (Policies) - לדוגמא, למנוע ממנו לתקשר עם העולם החיצון או לנתק אותו מהרשת במידה והוא מתחיל לשלוח כמויות מידע גדולות", אומרים בחברת הסייבר SentinelOne. 

אולי יעניין אותך גם