De vez en cuando me gusta jugar con dispositivos IoT y SCADA, creo que la razón principal es la relación impacto/dificultad de explotación, ya que el impacto suele ser bastante alto (entendiendo impacto como lo que se consigue tras una explotación satisfactoria) en comparación con lo que cuesta encontrar vulnerabilidades “criticas”, realmente creo que lo más complicado es encontrar los dispositivos, al menos para mí.

 

*Antes de entrar en materia quiero aclarar que no tengo nada en contra de las empresas y/o instituciones que mencione a continuación y que la finalidad de la entrada es completamente informativa y educativa. 

 

Se ha hablado mucho de seguridad en IoT desde mirai, también se ha hablado de la aspiradora autónoma que generaba un plano de tu casa usando el sensor de detección de obstáculos y más recientemente de las pulseras fitbit.

 

El caso que quiero exponer hoy es el de tres vulnerabilidades para las cuales al momento de escribir esta entrada no hay parche y que pueden tener graves consecuencias.

CVSSv3:

Identificadores:

CVE-2018-11629

CVE-2018-11681

CVE-2018-11682

 

Si habéis visitado alguno de los enlaces y habéis leído la pequeña referencia en ingles ya sabéis de lo que va la entrada. Para los que no, lo escribo de nuevo detallando un poco más y explicando el porqué del título.

 

La situación es la siguiente:

Hay un fabricante que desarrolla dispositivos IoT y que además es capaz de interconectar sus propios dispositivos y los de otros fabricantes a través de un protocolo de integración que contiene  ̶u̶n̶ ̶b̶a̶c̶k̶d̶o̶o̶r̶ ̶p̶a̶r̶a̶ ̶l̶a̶s̶ ̶a̶g̶e̶n̶c̶i̶a̶s̶ ̶d̶e̶ ̶t̶r̶e̶s̶ ̶l̶e̶t̶r̶a̶s̶  una cuenta para ofrecer soporte en remoto al cliente, pero que el cliente no puede deshabilitar y que por supuesto ofrece acceso completo al dispositivo.

 

Impacto:

Un atacante que conozca estas credenciales podrá conectarse vía telnet al dispositivo y tomar el control sobre la instalación.

Concretando un poco más a que afecta y a que no esta vulnerabilidad.

Afecta a dispositivos que usen los protocolos de integración HomeWorks QS, radioRA 2 o stanza del fabricante Lutron Electronics.

De acuerdo con las especificaciones de esta misma empresa, los productos que usan RadioRA 2:

 

HomeWork QS:

Stanza:

Las credenciales para cada caso (user:pwd)

lutron:integration

nwk:nwk2

 

 

Lo que podemos hacer en este punto es interactuar con la instalación emulando pulsaciones en los botones a través de ? y # seguido de comando tal y como aparecerá explicado detalladamente en cada manual, así que tendremos acceso completo para manejar la instalación eléctrica a nuestro antojo.

*Captura tomada en un entorno controlado

Actualmente hay entre 7000 y 8000 dispositivos vulnerables expuestos en internet.

Ahora la explicación del porqué del título, aunque te podrás imaginar por dónde van los tiros.

 

Las empresas y en general las personas tienden a compartir públicamente cosas de las que se sienten orgullosas y en este caso no es diferente, esta empresa comparte públicamente como forma de marketing grandes proyectos en los que participa y con qué dispositivos con unos resultados, todo hay que decir, bastante interesantes; pero visto desde el punto de vista de un atacante, le estas dando un vector de entrada muy valioso a sitios como el estadio de Wimbledon, el museo Guggenheim el centro financiero de Taipei, entidades bancarias, hospitales e incluso las instalaciones de la NASA en cabo cañaveral.

 

POSIBLE SOLUCIÓN:

Dado que entre las características del protocolo de integración se encuentra la imposibilidad de establecer más de una conexión simultánea con el mismo usuario, si establecemos nosotros mismos una conexión a nuestros dispositivos con esas credenciales sería imposible para un atacante hacerlo.

 

Antes de acabar, me gustaría hacer una reflexión y es que se habla mucho cuando pwnean una compañía, como por ejemplo Telefónica, Deloitte o las contraseñas en plano de Twitter. Se critica duramente a esas empresas (y con acierto bajo mi punto de vista (aunque al menos han dado la cara)) pero viendo casos como por ejemplo el reciente bug descubierto por Capitan alfa en dispositivos DVR que afectaba cientos de miles de dispositivos de videovigilancia; que es lo que deberían hacer las empresas que comercializan estos dispositivos aparte de la obligación moral (y no sé si legal) de publicar un parche que lo solucione? Porque tampoco veo grandes reacciones ni comunicados irrelevantes para limpiar su imagen como si hacen las compañías que mencione antes (es posible que el tema seguridad en el mundo industrial se considere irrelevante, no lo sé). Supongo que será cuestión de esperar a que a un banco le hagan un robo físico tomando el control de su edificio “inteligente” o algo similar donde quede patente que las debilidades del mundo ciber tienen impacto en el mundo físico.

 

Gracias por leer, hasta la próxima

Por  @sadfud

 

Posts Relacionados

Comments

comments

Deja una respuesta

Tu email no será publicado. Los campos requeridos estan marcados con *
Puedes usar tags HTML y los atributos: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">