Check Point Research offentliggjør nå sårbarheter som kunne gjort det mulig for en hacker å sende utpressingsvirus og annen skadevare til jobb og hjemmenettverk ved å ta over smartlyspærer og deres kontrollenheter.

Check Points forskere har vist hvordan en ondsinnet aktør kunne utnytte et IoT-nettverk (smartlyspærer og deres kontrollerenhet) til å angripe vanlige datanettverk i hjem og bedrifter, ja til og med i smartbyer. Forskerne fokuserte på de markedsledende lyspærene fra Philips Hue, og avdekket sårbarheter (CVE-2020-6007) som gjorde det mulig å infiltrere nettverk ved å benytte et hull i ZigBee lavspenningsprotokollen som benyttes for å kontrollere en rekke IoT-enheter.

I en analyse om sikkerheten i ZigBee-kontrollerte smartlyspærer som ble publisert i 2017, kunne forskerne ta kontroll over en Hue-lyspære i et nettverk, installere skadelig firmware på denne, og deretter overføre skadevaren til andre nærliggende lyspærenettverk. På grunn av designbegrensninger, var leverandøren bare i stand til å fikse sårbarheten knyttet til denne overføringen, slik at angripere fortsatt kunne ta over en Hue-lyspære. Ved å benytte denne gjenværende sårbarheten, valgte Check Points forskere å ta dette tidligere arbeidet et skritt videre og brukte Hue-lyspæren som en plattform for å ta over lyspærenes kontrollenhet, og i siste instans, angripe offerets datanettverk.

Angrepsscenariet er som følger:

1. Hackeren kontrollerer lyspærerens farge eller lysstyrke for å lure brukeren til å tro at det er noe galt med den. Vedkommende går derfor inn i appen, der det står at pæren er utilgjengelig. Han eller hun vil derfor prøve å nullstille pæren.
2. Den eneste måten å gjøre dette på er å slette den fra appen, og deretter instruere kontrollenheten om å gjeninstallere lyspæren.
3. Kontrollenheten oppdager den kompromitterte lyspæren, og brukeren inkluderer den igjen i nettverket.
4. Den hackerkontrollerte lyspæren med oppdatert firmware benytter så ZigBee protokollens sårbarheter for å trigge en overbelastet buffer på kontrollenheten, ved å sende en stor mengde data til den. Denne datamengden setter hackeren i stand til å installere skadevare på selve kontrollenheten – som igjen kobles til jobb- eller hjemmenettverket.
5. Skadevaren kobler seg tilbake til hackeren og benytter en kjent utnyttelse (som EternalBlue). Dermed kan de infiltrere IP-nettverksmålet fra kontrolleneheten for å spre utpressningsskadevare eller overvåkingsprogramvare.

– Mange av oss er klar over at IoT-enheter kan utgjøre en sikkerhetsrisiko, men denne forskningen viser hvordan selv de mest dagligdagse, tilsynelatende dumme enhetene kan hackes, og brukes til å ta over nettverk eller plante skadevare. Det er viktig at organisasjoner og forbrukere beskytter seg mot disse angrepene ved å oppdatere enhetene sine, og holde dem separert fra andre maskiner i nettverket for å unngå mulig spredning av skadevare. I dagens kompliserte femte generasjons angrepslandskap har vi ikke råd til å overse sikkerheten i alt som er knyttet til nettverkene våre, sier teknologisjef Nils-Ove Gamlem i Check Point Norge.

Forskningen, som ble foretatt med hjelp fra Check Point Institute for Information Security (CPIIS) på Tel Aviv University, ble lagt frem for Philips og Signify (som eier Philips Hue merkevaren) i november 2019. Signify bekreftet sårbarheten i sitt produkt og utstedte en korrigert firmvare-versjon (Firmware 1935144040) som nå er tilgjengelig på deres hjemmeside. Check Point anbefaler at brukere forsikrer seg om at de benytter oppdaterte produkter med siste firmware versjon installert.

Check Point har laget en video som viser et slikt angrep. Denne kan finnes på deres hjemmeside.

Check Point kan levere en konsolidert sikkerhetsløsning som beskytter firmware i IoT enheter. Ved å benytte en nylig anskaffet teknologi, gir Check Point organisasjoner mulighet til å stanse angrep på enhetsnivå før enhetene er kompromittert ved benytte enhetens run-time beskyttelse.