פרצת ענק בענן OvrC: כל מכשירי ה-IoT חשופים להשתלטות עוינת

קיימים מאפיינים משותפים מסוימים באבטחת הסייבר של מכשירי האינטרנט של הדברים (IoT), הנובעים מכך שיצרנים מסוימים אינם נותנים עדיפות לשימוש באימות חזק ובבקרות גישה. לעיתים, הם מסתמכים על פרוטוקולים חלשים או מיושנים לתקשורת בין מכשירים לענן, וכן נמנעים מיישום של פתרונות הצפנה יקרים לאבטחת נתונים. יצרנים רבים מעדיפים להאיץ תהליכי פיתוח של תכונות ופונקציות שונות, ובוחרים לטפל בפגיעויות, פגמים בקוד ובבאגים רק בדיעבד, כאשר הם נחשפים.

מחזור החיים של מכשירי IoT קצר יותר מזה של מכשירים בתחום ה-IT או ה-OT (טכנולוגיה תפעולית), מה שמחזק את הדינמיקה של “תכונות תחילה, אבטחה מאוחר יותר”. סיבות נוספות לסדר עדיפויות זה קשורות למורכבות הנושא, היעדר מומחיות באבטחה, והעלויות הגבוהות, אשר גורמות ליצרנים למקד פחות משאבים באבטחת סייבר.

המחקר על OvrC Cloud
פלטפורמת הענן של OvrC מאפשרת למשתמשים לנהל, להגדיר ולפתור בעיות מרחוק במכשירים תומכים. מכשירים אלו כוללים נקודות קצה של אוטומציה לבית חכם (למשל Control4), מתגי חשמל חכמים (Wattbox), מצלמות (LUMA), נתבים (Araknis) ועוד.

משתמשי הענן יכולים לקיים אינטראקציה עם המכשירים שלהם באמצעות ממשק משתמש מותאם אישית. לדוגמה, ניתן להפעיל או לכבות מתגים חכמים, לצפות בשידור חי ממצלמות פנימיות, או לנהל יציאות רשת בנתבים.

תגליות המחקר
במהלך המחקר נחשפו עשר נקודות תורפה ב-OvrC Pro וב-OvrC Connect, האפליקציה לנייד. רבות מהבעיות נבעו מהזנחת ממשקי המכשירים לענן, תופעה נפוצה בפלטפורמות IoT אחרות.

תוקף יכול לנצל נקודות תורפה אלה כדי לעקוף אבטחה היקפית כגון חומות אש ו-NAT, לקבל גישה לממשקי הניהול מבוססי הענן, למפות מכשירים, להעלות הרשאות, ואף להריץ קוד שרירותי.

מסקנות המחקר
המחקר מדגים כיצד ניתן לשרשר פגיעויות ולגשת למכשירים, לשבש אותם או לתפעלם. התוצאות השליליות עלולות להשפיע על ספקי כוח מחוברים, נתבים עסקיים, מערכות בית חכם ועוד.

לסיכום, ככל שמכשירים חכמים נוספים מחוברים לאינטרנט וניהול הענן הופך לנפוץ יותר, יצרנים וספקי שירותי ענן חייבים להשקיע יותר באבטחת מכשירים וקישוריות.

שרון בריזינוב, מנהל מחקר, צוות Team82, קלארוטי