Defectos graves encontrados en múltiples centros de hogares inteligentes: ¿está su dispositivo entre ellos?


En el peor de los casos, algunas vulnerabilidades podrían incluso permitir a los atacantes tomar el control de las unidades centrales y todos los dispositivos periféricos conectados a ellas.

ESET IoT Research ha encontrado numerosas vulnerabilidades de seguridad graves en tres centros domésticos diferentes: Fibaro Home Center Lite, Unidad de control central homemático (CCU2) y eLAN-RF-003. Estos dispositivos se utilizan para monitorear y controlar hogares inteligentes y otros entornos en miles de hogares y empresas en toda Europa y más allá. Las posibles consecuencias de estas debilidades incluyen el acceso completo a los dispositivos centrales y periféricos en estos sistemas monitoreados, y a los datos confidenciales que contienen, la ejecución remota de código no autenticada y los ataques Man-in-the-Middle (MitM). Si bien estos centros se utilizan principalmente en entornos domésticos y de oficinas pequeñas, también abren un vector de ataque potencial para empresas. Esta tendencia es aún más preocupante ya que hay más empleados trabajando desde casa en estos días.

Hemos informado nuestros hallazgos descritos en este blog a los respectivos fabricantes. Fibaro ha demostrado ser extraordinariamente cooperativo, solucionando la mayoría de los problemas reportados en cuestión de días. eQ ‑ 3 siguió el procedimiento estándar de divulgación y parchó sus dispositivos dentro del período estándar de 90 días. Elko ha parcheado algunas de las vulnerabilidades reportadas de su dispositivo dentro del período estándar de 90 días. Otros problemas pueden haberse solucionado en las generaciones más recientes de los dispositivos, pero permanecen en los más antiguos, y el proveedor reclama limitaciones de hardware y compatibilidad.

Los problemas descritos en este artículo se informaron a los proveedores, que luego lanzaron parches para la mayoría de ellos, en 2018. La publicación se retrasó debido a nuestro enfoque en la investigación de otras vulnerabilidades que aún estaban activas. No obstante, con la corriente requisito aumentado para la seguridad de IoT, estamos lanzando esta compilación de hallazgos anteriores para aconsejar a todos los propietarios de los dispositivos afectados que apliquen las últimas actualizaciones a sus dispositivos para aumentar su seguridad y reducir la exposición a ataques externos.

Fibaro Home Center (HC) Lite

Figura 1. Fibaro Home Center (HC) Lite probado por el equipo de investigación de ESET IoT

Fibaro Home Center Lite es un controlador de automatización del hogar, diseñado para controlar una amplia variedad de dispositivos periféricos en un hogar inteligente. Entre otras cosas, el sitio web del fabricante promete una instalación y configuración simples, una interfaz web fácil de usar y compatibilidad con una gama de sensores, actores, controles remotos, cámaras IP y asistentes domésticos populares Google Home y Amazon Alexa.

Sin embargo, una inspección exhaustiva del dispositivo (versión de firmware 4.170) por parte del equipo de investigación de ESET IoT descubrió una mezcla de vulnerabilidades graves que podrían haber abierto la puerta a los atacantes externos.

Una combinación de las fallas que encontramos incluso permitió que un atacante creara una puerta trasera SSH y obtuviera el control total sobre el dispositivo objetivo.

Otros problemas que descubrimos incluyen:

  • Las conexiones TLS eran vulnerables a los ataques MitM (debido a la falta de validación del certificado), lo que permitía a los atacantes:
    • Usar inyección de comando
    • Obtenga acceso a la raíz mediante la fuerza bruta forzando una contraseña muy corta y codificada almacenada en el archivo / etc / shadow en el firmware del dispositivo.
  • Se puede acceder fácilmente a la sal de contraseña codificada (utilizada por la base de datos SQLite, que almacena nombres de usuario y contraseñas) a través de los scripts de la interfaz web de Fibaro, lo que permite al atacante reemplazar las contraseñas de los usuarios y crear nuevas contraseñas.
  • Las solicitudes al servicio meteorológico (API) del dispositivo filtraron las coordenadas GPS exactas del dispositivo, ya que se enviaron como parte de comunicaciones HTTP sin cifrar.

Vulnerabilidad de Fibaro Home Center Lite

Tal como se diseñó, la conexión de administración remota entre Fibaro Home Center Lite y su servidor en la nube se asegura a través de un túnel SSH estándar, creado en dos pasos:

  1. Fibaro Home Center Lite envía dos solicitudes encriptadas TLS por separado solicitando el nombre de host del servidor SSH y el puerto de escucha, como se ve en la Figura 1.
  2. Según la información devuelta, Fibaro Home Center Lite crea una conexión segura a través de un túnel SSH con el servidor SSH especificado.

Figura 2. Solicitudes cifradas con TLS enviadas por Fibaro Home Center Lite, vulnerables al ataque MitM.

El comando completo del script de shell de inicialización del dispositivo que se encarga de procesar los datos devueltos por estas solicitudes es el siguiente:

pantalla -d -m -S RemoteAccess ssh -y -K 30 -i / etc / dropbear / dropbear_rsa_host_key -R $ PORT_Response: localhost: 80 remote2 @ $ IP_Response

Los valores de respuesta se pasan al comando a través de $ IP_Response y $ PORT_Response variables Normalmente, esto permitiría al dispositivo crear un túnel SSH a través del cual reenviaría su puerto HTTP 80 al puerto especificado en el servidor SSH remoto.

Figura 3. Solicitudes cifradas con TLS enviadas por Fibaro Home Center Lite, vulnerables al ataque MitM.

Obteniendo acceso a Fibaro Home Center Lite

Para infiltrarse con éxito en el proceso descrito anteriormente, los investigadores de ESET crearon su propio servidor que aceptaría la clave pública del dispositivo objetivo, para imitar el servidor original de Fibaro (lb-1.eu.ra.fibaro.com) Este servidor MitM (posteriormente denominado ) usa el puerto 666 para el ataque y está configurado para aceptar la clave pública enviada por Fibaro Home Center Lite, que obtuvimos de una comunicación previa con el dispositivo.

La conexión entre Fibaro Home Center Lite y el servidor MitM se establece debido a que Fibaro Home Center Lite no puede realizar la verificación del certificado en algunas conexiones TLS con el servidor, lo que permite a cualquier atacante usar certificados falsos firmados por su servidor proxy.

Para empeorar las cosas, las solicitudes TLS interceptadas, destinadas a crear el túnel SSH entre el dispositivo y el servidor legítimo, son vulnerables a la inyección de comandos. Al usar el servidor MitM, los atacantes pueden reemplazar la dirección del servidor original lb-1.eu.ra.fibaro.com con lo que deseen. Por ejemplo, el atacante puede generar una respuesta maliciosa con una inyección de comando del formulario 0 n-J n / usr / sbin / dropbear $ IFS -p $ IFS 666, lo que hace que el comando respectivo del script de shell de inicialización falle y, posteriormente, abra una puerta trasera SSH a Fibaro Home Center Lite.

Después de un tiempo, Fibaro Home Center Lite solicita nuevamente la dirección IP del servidor. Nuevamente, el atacante puede interceptar la solicitud y responderla con lo siguiente: n-R 6666: localhost: 666.

En Fibaro Home Center Lite, esta respuesta se pasa al comando de script de shell de inicialización, que da como resultado la creación del túnel SSH previsto originalmente para el reenvío del puerto 80. Además, se crea otro túnel, a través del cual se abre el puerto de puerta trasera SSH del atacante reenviado. Esto redirige la comunicación de ambos puertos (SSH 666, HTTP 80) al servidor MitM del atacante. A partir de este momento, el atacante tiene acceso de root a Fibaro Home Center Lite. La siguiente sección menciona cómo obtener la contraseña de root.

Explotación de Fibaro Home Center Lite

Otro problema encontrado por los investigadores de ESET fue que las actualizaciones de firmware se descargaron a través de HTTP, que también contenía un enlace directo al archivo de firmware. Si los atacantes descargaron ese archivo e inspeccionaron el archivo / etc / shadow (de la imagen del firmware), encontrarían la contraseña raíz codificada, válida para todos los dispositivos Fibaro Home Center Lite. Además de que la contraseña se ha cifrado utilizando el algoritmo MD5 en desuso durante mucho tiempo, también tenía solo unos pocos caracteres de largo y, por lo tanto, era forzosamente trivial.

Otra opción para el atacante es manipular las credenciales de usuario para la interfaz web, almacenadas en una base de datos SQLite en Fibaro Home Center Lite. Estas contraseñas se almacenan en hash SHA-1, creado a partir de la contraseña suministrada con una cadena codificada que se puede extraer fácilmente de un script en el archivo de imagen del firmware. Usando la sal, un atacante puede reescribir las credenciales existentes en la fila apropiada de la base de datos SQLite de Home Center Lite ubicada en / mnt / user_data / db, haciendo que la contraseña legítima no sea válida.

Los investigadores de ESET informaron todos estos problemas y vulnerabilidades al fabricante. Los parches se lanzaron en agosto de 2018. Los controladores domésticos parcheados ahora verifican los certificados del servidor y no permiten las inyecciones de comandos. La contraseña de root fácilmente forzada por fuerza bruta también ha sido reemplazada por una alternativa más larga y segura.

El único problema que queda en el momento de escribir esto es la cadena de sal codificada utilizada para crear el hash SHA-1 de la contraseña. Para ver la línea de tiempo completa, consulte la tabla al final de la publicación del blog.

Unidad de Control Central Homemático (CCU2)

Figura 4. Unidad de control central homemático (CCU2) probada por el equipo de investigación de ESET IoT

CCU2 homemático es anunciado por eQ-3 como el elemento central del sistema de hogar inteligente del usuario, "ofreciendo una gama completa de opciones de control, monitoreo y configuración para todos los dispositivos Homematic en la instalación". De acuerdo con una búsqueda de Shodan (ver Figura 5), ​​miles de estos centros domésticos están implementados y accesibles desde Internet, principalmente en hogares y empresas europeas.

Figura 5. Datos de Shodan que muestran los dispositivos Homematic CCU2 de acceso público (21 de abril de 2020)

Homematic CCU2 (versión de firmware 2.31.25) mostró serias fallas de seguridad durante nuestras pruebas. La más grave fue la capacidad de un atacante para realizar la ejecución remota de código no autenticada (RCE) como usuario root.

Esta falla tenía serias implicaciones de seguridad, permitiendo a los atacantes obtener acceso completo a los dispositivos Homematic CCU2 y potencialmente también a los dispositivos periféricos conectados. Esto fue posible a través de numerosos comandos de shell que utilizan indebidamente la vulnerabilidad RCE

La vulnerabilidad se originó en un script de Interfaz de puerta de enlace común (CGI) que maneja el procedimiento de cierre de sesión de la interfaz de administración basada en la web de Homematic CCU2. los $ sid El parámetro (ID de sesión) no se escapó correctamente, lo que permitió a un atacante inyectar código malicioso y ejecutar comandos de shell arbitrarios como usuario root (administrador). Como el script de cierre de sesión no verificó que está procesando una solicitud de una sesión actualmente conectada, un atacante podría realizar un número ilimitado de estas solicitudes sin tener que iniciar sesión en el dispositivo.

Figura 6. El fragmento de código donde se origina el problema de cierre de sesión de RCE.

Figura 7. Fragmento de código donde el $ sid el valor no se escapa correctamente.

El código podría inyectarse en una simple solicitud a través de $ sid parámetro:

http: //device_ip/api/backup/logout.cgi? sid = aa "); system.Exec (""); System.ClearSessionID (" bb

Esto resultó en la siguiente interpretación y ejecución del código: system.ClearSessionID ("aa"); system.Exec (""); System.Clear SessionID (" bb ");

Usando esto, un atacante podría crear un exploit funcional que:

  1. Establece una nueva contraseña de root.
  2. Habilita SSH, si está deshabilitado.
  3. Inicia el demonio SSH.

ESET informó sus hallazgos con respecto a la vulnerabilidad de RCE no autenticada a eQ ‑ 3 a principios de 2018. El firmware parcheado se lanzó en julio de 2018. Para ver el cronograma completo, consulte la tabla al final de la publicación del blog.

eLAN-RF-003

Esta caja de RF inteligente es fabricado por la compañía checa ELKO EP. Ha sido diseñado como una unidad central en un hogar inteligente, lo que permite al usuario controlar una variedad de sistemas como iluminación, temperatura del agua caliente, calefacción, cerraduras inteligentes, persianas, persianas, ventiladores, tomas de corriente, etc. Todo está controlado a través de una aplicación instalada en los dispositivos del cliente, como un teléfono inteligente, un reloj inteligente, una tableta o un televisor inteligente.

ESET IoT Research probó el dispositivo (versión de firmware 2.9.079) junto con dos dispositivos periféricos del mismo fabricante: la bombilla LED regulable inalámbrica RF-White-LED-675 y el zócalo regulable RFDSC-71, como se ve en la Figura 8.

Figura 8. Desde la izquierda: caja de RF inteligente y equipo ELKO asociado que probamos

Los resultados de la prueba mostraron que conectar el dispositivo a Internet o incluso operarlo en la LAN de uno podría ser potencialmente peligroso para el usuario debido a una serie de vulnerabilidades críticas:

  • La comunicación web GUI para la caja RF inteligente usa solo el protocolo HTTP, con la implementación HTTPS faltante.
  • La caja Smart RF utilizaba una autenticación inadecuada, permitiendo ejecutar todos los comandos sin solicitar un inicio de sesión. El dispositivo tampoco utilizaba cookies de sesión, por lo que carecía de cualquier mecanismo que pudiera verificar que el usuario había iniciado sesión correctamente.
  • El cuadro Smart RF podría verse obligado a filtrar datos confidenciales, como contraseñas o información de configuración.
  • Los dispositivos periféricos conectados a la caja Smart RF eran vulnerables a los ataques de grabación y reproducción.

Interfaz web con problemas

Nuestras pruebas mostraron que la interfaz web usa solo HTTP, sin ninguna opción para usar HTTPS ya que el dispositivo no tenía código para manejar el protocolo. Esto significa que toda la comunicación del usuario, incluidos los datos confidenciales, como los nombres de usuario y las contraseñas, se envió a través de la red sin cifrado ni ninguna otra forma de protección. Esto permitió que cualquier atacante con acceso a la red (o que pudiera mitigar el tráfico) interceptara la información de forma clara.

En segundo lugar, a pesar de que el servicio web solicitó un nombre de usuario y una contraseña para el inicio de sesión, no proporcionó cookies de sesión u otros mecanismos que aseguran que el usuario haya iniciado sesión correctamente y esté autorizado para solicitar los recursos del dispositivo.

Autenticación insuficiente

Estos problemas en la interfaz web nos llevaron a otra área de problemas de seguridad, a saber, la falta de autenticación del usuario.

Usos de caja RF inteligente HTTP GET solicitudes para obtener información y HTTP POST o PONER solicitudes para ejecutar comandos. Sin embargo, el dispositivo no requería un inicio de sesión del usuario ni ninguna otra forma de verificación para estos comandos. Esto permitió a los atacantes capturar, modificar o crear sus propios paquetes y dejar que el dispositivo los ejecutara.

Solo hubo una excepción a este enfoque, a saber, el cambio de la contraseña de la interfaz web. Este comando estaba parcialmente protegido y solo se puede ejecutar cuando se cumplen dos condiciones: el administrador está conectado y usa la misma dirección IP que se usó anteriormente para iniciar sesión. Este mecanismo de protección minimalista es mejor que ninguna restricción, pero no lo suficientemente fuerte como para Evitar el mal uso potencial.

El acceso no autenticado a la interfaz web es un problema grave, ya que le da a cualquier persona con acceso a la red local la capacidad de tomar el control de la caja de RF inteligente y, posteriormente, de todos los dispositivos conectados a ella. Esto es especialmente preocupante debido a la posible combinación con otras vulnerabilidades que permiten al atacante establecerse en la red Wi-Fi local.

Fuga de información sensible

El cuadro Smart RF también tenía implementadas funciones de API HTTP. Esto permitió un fácil acceso a través de un navegador, pero, de nuevo, sin autenticación alguna.

Para ilustrar la profundidad de este problema, diseñamos un escenario de ataque simple viable incluso para un atacante menos habilidoso:

  • Obtenga el archivo de configuración, que contiene la contraseña de administrador, utilizando lo siguiente HTTP GET solicitud: http: // Dirección IP / api / configuration / data.
  • Use las credenciales robadas para iniciar sesión en la GUI del dispositivo en http: // IPAddress / y hacerse cargo del dispositivo.
  • Alternativamente, el atacante puede descargar el archivo de configuración, modificarlo y subirlo al dispositivo usando una POST. De nuevo, no se requirió autenticación para este proceso.

Sin embargo, esta vulnerabilidad dio a los atacantes una gama mucho más amplia de opciones. Como se muestra en la Figura 9, al usar la misma técnica de ataque, los atacantes pudieron extraer información sobre dispositivos periféricos, planos de planta, errores, atributos del hogar inteligente administrado, la versión de firmware del dispositivo, etc.

Figura 9. La caja Smart RF puede verse obligada a filtrar una variedad de información confidencial.

Posible ataque de grabación y repetición

Mediante el uso de hardware y software adicionales, los atacantes también podrían interceptar comandos enviados desde la unidad central (eLAN-RF-003) a dispositivos periféricos (en nuestro caso, una bombilla LED regulable y un zócalo regulable). Los datos grabados podrían reproducirse fácilmente mediante un dispositivo bajo el control de los atacantes ubicados dentro del alcance de la señal de radio. Esto les daría a los atacantes el control sobre los dispositivos periféricos o incluso toda la casa inteligente.

Lo que hizo que esta vulnerabilidad fuera especialmente grave es el hecho de que, en comparación con los dispositivos habilitados para Wi-Fi que generalmente están protegidos por los estándares WPA, no había mecanismos de protección que detuvieran esos ataques de grabación y reproducción.

Para lograr esto, los atacantes deben sintonizar su receptor a la frecuencia de radio de 868.5 MHz y grabar la comunicación. Estos datos almacenados pueden reproducirse posteriormente como un nuevo comando para el dispositivo periférico.

En nuestro experimento, los dispositivos periféricos se comportaron de manera idéntica independientemente de si los comandos provenían de una caja eLAN-RF-003 o si fueron reproducidos por otro radio definida por software dispositivo. Este tipo de ataque también podría realizarse mientras la unidad central está desconectada o desconectada.

Para empeorar las cosas, algunos usuarios han configurado sus unidades NAT y eLAN-RF-003 para acceso remoto a través de Internet, utilizando las contraseñas predeterminadas. Esto expuso los dispositivos, que también se pueden buscar fácilmente, a ataques externos y presentó puertas abiertas a las respectivas casas inteligentes, lo que aumenta el riesgo de adquisición maliciosa.

Todas estas vulnerabilidades documentadas se informaron al proveedor, que emitió parches parciales dentro del período de divulgación responsable. Sin embargo, dos de las vulnerabilidades informadas (la comunicación de la interfaz web sin cifrar y la comunicación de radiofrecuencia (RF) insegura) parecen haber permanecido sin parchear, al menos para las generaciones anteriores de dispositivos probados.

Además de la complejidad de cambiar los protocolos y los problemas de compatibilidad de hardware inherentes, el fabricante también argumenta que la comunicación por radio eLAN-RF-003 no puede ser interceptada fácilmente por usuarios no calificados, que carecen del conocimiento necesario sobre el protocolo de comunicación en la banda ISM. Eso es cierto, pero si se encuentran vulnerabilidades similares a las descubiertas por ESET en la infraestructura de un objetivo valioso, determinados atacantes, como los probadores de penetración profesionales o los actores de los estados nacionales, pueden explotarlos y lo harán.

El proveedor puede haber abordado las vulnerabilidades restantes en las nuevas generaciones que ESET no ha probado.

Conclusión

ESET probó los centros de inicio populares o interesantes disponibles en tiendas electrónicas locales. Las pruebas mostraron que tres unidades centrales de IoT tenían varias vulnerabilidades de seguridad graves. Algunos de los defectos eran tan graves que un atacante podría usarlos mal para realizar ataques MitM, espiar a la víctima, crear puertas traseras u obtener acceso a la raíz de algunos de los dispositivos y sus contenidos. En el peor de los casos, estos problemas podrían incluso permitir a los atacantes tomar el control de las unidades centrales y todos los dispositivos periféricos conectados a ellas.

La mayoría de las fallas reveladas por ESET han sido reparadas por los proveedores de estos dispositivos particulares. En particular, Fibaro parchó todos los problemas reportados menos uno, pocos días después del informe inicial. eQ ‑ 3, el fabricante de Homematic CCU2, arregló la vulnerabilidad RCE reportada dentro de los 90 días de la divulgación responsable. Elko también demostró su deseo de mantener sus dispositivos protegidos. El fabricante lanzó parches para parte de los problemas reportados y continuó trabajando en protocolos más nuevos.

Sin embargo, algunos de los problemas parecen haber quedado sin resolver, al menos en las generaciones anteriores de dispositivos. Sin embargo, incluso si hay nuevas generaciones más seguras disponibles, las más antiguas todavía están en funcionamiento. El fabricante también argumentó que parte de la responsabilidad de seguridad (con respecto a la exposición de los dispositivos a Internet) recae sobre los hombros de sus clientes. Y con pocos incentivos para que los usuarios de dispositivos más antiguos pero funcionales los actualicen, deben ser cautelosos, ya que aún podrían estar expuestos.

Los resultados de esta investigación, así como la anterior, de ESET muestran que las vulnerabilidades de seguridad en los dispositivos IoT son un problema frecuente para los hogares, los entornos de pequeñas oficinas y las empresas (1). Nuestros resultados también muestran que los defectos en la configuración predeterminada, el cifrado o la autenticación no son exclusivos de los dispositivos baratos y de gama baja, sino que a menudo también están presentes en el hardware de gama alta.

La principal diferencia es el deseo de los fabricantes establecidos y confiables de reaccionar, comunicarse, cooperar y estar dispuestos a solucionar los problemas reportados. El enfoque responsable de un proveedor frente a las vulnerabilidades y los parches debe formar la base de las decisiones de los clientes al elegir un proveedor de hardware para sus futuros dispositivos de oficina inteligente / hogar inteligente.

Felicitaciones a nuestros colegas investigadores y colegas, que nos ayudaron en el curso de esta investigación, a saber Juraj Bartko, Kacper Szurek, Peter Košinár, Ivan Bešina y Ondrej Kubovič

Línea de tiempo completa para todos los dispositivos

Fecha Acción
2017 ESET comenzó su investigación en tres centros domésticos de IoT: Fibaro Home Center Lite, Homematic CCU2 y eLAN-RF-003.
6 de febrero de 2018 ESET informó todas las vulnerabilidades encontradas a ELKO EP, fabricante de eLAN-RF-003
versión de firmware 2.9.079
2 mar 2018 ESET informó vulnerabilidad de RCE encontrada en eQ-3, fabricante de Homematic CCU2
versión de firmware 2.31.25
4 de mayo de 2018 ELKO EP lanzó un parche que corrige algunas de las vulnerabilidades reportadas, pero aún quedan dos problemas: la comunicación GUI web sin cifrar y la comunicación RF vulnerable
versión de firmware 3.0.038
3 julio 2018 eQ-3 lanzó un parche que corrige la vulnerabilidad RCE reportada en Homematic CCU2
versión de firmware 2.35.16
21 agosto 2018 ESET informó todas las vulnerabilidades encontradas a Fibaro, fabricante de Fibaro Home Center Lite
versión de firmware 4.170
30 agosto 2018 Fibaro lanzó un parche que corrige la mayoría de las vulnerabilidades reportadas en Fibaro Home Center Lite, con la excepción de la cadena de sal codificada, que no cambió y todavía se está utilizando para crear el hash SHA-1 de la contraseña
versión beta del firmware 4.504

(1) En caso de que esté interesado en obtener más información sobre las vulnerabilidades de los dispositivos IoT y los vectores de ataque explotados, y cómo afectan la postura de riesgo de los activos de la empresa, le recomendamos que también lea esta reciente Trabajo de investigación de Forrester, donde ESET fue uno de los proveedores contribuyentes a este estudio de investigación integral.



y





Enlace a la noticia original