Imagen: Nortek Stability & Command, LLC
Los hackers están buscando activamente en World-wide-web y secuestrando sistemas de manage de acceso de puertas / edificios inteligentes, que están utilizando para lanzar ataques DDoS, según la compañía de firewall SonicWall.
Los ataques están dirigidos a Linear Arise E3, un producto de Nortek Safety & Manage (NSC).
Dispositivos lineales Arise E3 (1, 2, 3) entran en la categoría de components de «sistemas de management de acceso». Se instalan en sedes corporativas, fábricas o parques industriales. Su propósito principal es controlar a qué puertas y habitaciones pueden acceder los empleados y visitantes en función de sus credenciales (códigos de acceso) o tarjetas inteligentes.
En mayo de 2019, los investigadores de Used Chance, una empresa de seguridad cibernética especializada en servicios de seguridad industrial, detalles revelados Cerca de diez vulnerabilidades que afectan a los dispositivos NSC Linear Arise E3.
A pesar de que seis de las diez vulnerabilidades tenían un puntaje de gravedad de vulnerabilidad (CVSSv3) de 9.8 o 10 de un máximo de 10, NSC no pudo proporcionar parches, según un aviso de seguridad de Riesgo Aplicado.
Riesgo aplicado lanzado más tarde código de explotación de prueba de concepto en noviembre.
CVE-2019-7256 explotación
Ahora, en un informe publicado la semana pasada, los investigadores de SonicWall dicen que los piratas informáticos están escaneando Internet en busca de dispositivos NSC Linear Emerge E3 expuestos y utilizando una de las diez vulnerabilidades.
La vulnerabilidad que están utilizando es CVE-2019-7256. El riesgo aplicado describió esta vulnerabilidad como una falla de inyección de comando. Es uno de los dos que recibió un puntaje de severidad de 10/10, lo que significa que puede ser explotado a distancia, incluso por atacantes poco calificados sin ningún conocimiento técnico avanzado.
«Este problema se desencadena debido a la desinfección insuficiente de las entradas proporcionadas por el usuario a una función PHP que permite la ejecución arbitraria de comandos con privilegios de root», dijo SonicWall en una alerta de seguridad publicada la semana pasada. «Un atacante remoto no autenticado puede explotar esto para ejecutar comandos arbitrarios dentro del contexto de la aplicación, a través de una solicitud HTTP diseñada».
Los hackers están utilizando CVE-2019-7256 para hacerse cargo de los dispositivos, descargar e instalar malware y luego lanzar ataques DDoS en otros objetivos.
«Los atacantes parecen estar atacando activamente estos dispositivos, ya que vemos decenas de miles de visitas cada día, apuntando a más de 100 países con la mayoría (de los ataques) observados en Estados Unidos», dijo SonicWall.
Sin embargo, la superficie de ataque no es demasiado grande. SonicWall informa que el motor de búsqueda Shodan solo enumera «2.375 dispositivos Arise con acceso a Net».
Este número es mucho más bajo que los millones de cámaras de seguridad y enrutadores domésticos que también están disponibles en línea. Sin embargo, la pequeña cantidad de dispositivos vulnerables no ha disuadido a los atacantes hasta ahora, y es probable que los intentos de explotación continúen.
Dispositivos IoT utilizados como puntos de entrada.
Pero si bien hacer que su sistema de puerta de edificio inteligente inicie ataques DDoS en Steam o PlayStation Network es un problema, una amenaza mayor es que estos sistemas vulnerables también se pueden usar como puntos de entrada a las redes internas de una organización.
En agosto del año pasado, Microsoft informó que observó a un equipo de piratas informáticos patrocinado por el estado ruso que usaba dispositivos inteligentes de Internet de las cosas (IoT) como puntos de lanzamiento para otros ataques en redes corporativas.
Los piratas informáticos rusos intentaron explotar un teléfono VOIP, una impresora de oficina y un decodificador de online video, dijo Microsoft, pero los dispositivos NSC Linear Emerge E3 son objetivos igualmente atractivos, principalmente debido a la alta gravedad de los diez errores de seguridad revelados el año pasado.
Se recomienda a los administradores de sistemas que administran redes donde se instalan dispositivos NSC Linear Arise E3 que retiren estos sistemas de Internet o, al menos, limiten el acceso a estos dispositivos mediante un firewall o VPN.
