A equipe de pesquisas da Check Point demonstrou como um criminoso pode explorar uma rede IoT para lançar ataques a redes convencionais em ambientes domésticos, empresariais ou mesmo em cidades inteligentes

O braço de inteligência e pesquisas de ameaças Check Point Research (CPR) revelou vulnerabilidades que podem permitir a um criminoso distribuir ransomware ou outro tipo de malware em redes corporativas ou domésticas através de lâmpadas inteligentes e sua controladora.

A equipe de pesquisas da Check Point demonstrou como um criminoso pode explorar uma rede IoT (lâmpadas inteligentes e sua controladora) para lançar ataques a redes convencionais em ambientes domésticos, empresariais ou mesmo em cidades inteligentes.

É crítico que as organizações e pessoas protejam-se contra esses possíveis ataques por meio da atualização dos seus dispositivos com as mais recentes versões

Os pesquisadores direcionaram o foco nas lâmpadas inteligentes líderes de mercado a Philips Hue e sua controladora, e descobriu vulnerabilidades (CVE-2020-6007) que permitem se infiltrar nas redes explorando remotamente o protocolo wireless ZigBee (protocolo de baixa taxa de transmissão para aplicações de monitoramento e controle), o qual é utilizado para controlar a maioria dos dispositivos IoT.

Em uma análise da segurança das lâmpadas inteligentes controladas através do ZigBee publicada em 2017, os pesquisadores conseguiram assumir o controle de uma lâmpada Hue em uma rede, instalar uma versão de firmware malicioso e propagar para redes de iluminação adjacentes. Devido a limitações de design, o fabricante só conseguiu solucionar a vulnerabilidade de propagação, porém os criminosos podiam continuar assumindo o controle dessas lâmpadas.

Ao utilizar essa vulnerabilidade, os pesquisadores da Check Point decidiram dar um passo adiante e, então, utilizaram a lâmpada Hue como uma plataforma para dominar a controladora das lâmpadas e, finalmente, atacar a rede de computadores alvo.

O cenário do ataque é:

1. O criminoso controla a cor e brilho da lâmpada para levar o usuário a pensar que a lâmpada tem alguma anomalia. A lâmpada aparece como “inalcançável” no aplicativo da controladora e, por isso, tentará “reiniciar”.

2. A única forma de “reiniciar” uma lâmpada no aplicativo é eliminando-a do app, e depois instruir a controladora a reencontrar a lâmpada.

3. A controladora descobre a lâmpada comprometida, e o usuário a reinstala na sua rede.

4. A lâmpada agora controlada pelo criminoso com o firmware atualizado usará as vulnerabilidades do protocolo ZigBee para acionar o envio de um volume elevado de dados para ele. Estes dados permitem também que o criminoso instale um malware na controladora, que está conectada com as redes domésticas ou corporativas.

5. O malware conecta-se com o criminoso e, utilizando-se de uma falha conhecida (como por exemplo o EternalBlue), pode se infiltrar na rede alvo a partir da controladora para espalhar ransomware e spyware.

“Muitos de nós estamos conscientes de que os dispositivos IoT podem representar um risco à segurança, mas esta pesquisa mostra como até os dispositivos mais comuns e aparentemente “burros”, como lâmpadas, podem ser explorados por criminosos e usados para invadir redes ou distribuir malware”, informa Yaniv Balmas, líder de pesquisas cibernéticas da divisão Check Point Research.

“É crítico que as organizações e pessoas protejam-se contra esses possíveis ataques por meio da atualização dos seus dispositivos com as mais recentes versões e separando-as de outras máquinas nas suas redes, para limitar uma possível disseminação de malware. No atual panorama complexo de ataques de quinta geração não podemos deixar de lado a segurança do que quer que seja que possa estar conectado às nossas redes.”

A pesquisa foi efetuada com o apoio do Check Point Institute for Information Security (CPIIS) na Universidade de Tel Aviv, apresentada à Philips e à Signify (proprietária da marca Hue) em novembro de 2019. A Signify confirmou a existência da vulnerabilidade no seu produto e lançou uma nova versão de firmware (Firmware 1935144040), o qual foi disponibilizado via atualização automática. Recomenda-se aos usuários que verifiquem se seu produto recebeu a atualização automática desta nova versão do firmware.