Захватив контроль над умными лампочками, хакеры могут доставить вирусы-вымогатели или другие вредоносные программы в офисные и домашние сети, сообщают эксперты Check Point Research.

Злоумышленники могут использовать IoT-сеть (интеллектуальные лампочки и контролирующий их сетевой мост) для атак на обычные компьютерные сети в домах, на предприятиях или даже в «умных» городах. Исследователи протестировали популярные на рынке умные лампы и мосты Philips Hue.

Эксперты обнаружили уязвимости, которые позволили проникнуть в сети с помощью удаленного эксплойта в беспроводном протоколе ZigBee с низким энергопотреблением, который используется для управления большим количесвтом IoT-устройств.

В исследовании безопасности умных лампочек, управляемых с помощью протокола ZigBee, специалисты смогли получить контроль над лампочкой Hue в сети, установить на нее вредоносное ПО и распространить его на другие соседние сети лампочек. Используя оставшуюся уязвимость, исследователи Check Point использовали лампочку Philips Hue в качестве платформы для полного контроля над сетевым мостом управления лампами. Следует отметить, что следующие поколения лампочек Hue не имеют эксплуатируемой уязвимости.

Как происходит атака?

1. Хакер меняет цвет или яркость лампы, чтобы обмануть пользователей: это заставляет их думать, что у лампы происходит сбой. Лампа отображается как «Недоступно» в пользовательском приложении управления, поэтому владельцы попытаются сбросить настройки.

2. Единственный способ сбросить настройки — удалить лампочку из приложения, а затем поручить контрольному сетевому мосту заново обнаружить лампу.

3. Контролирующий мост обнаруживает скомпрометированную хакерами лампу, и именно ее пользователь добавляет обратно в свою сеть.

4. Управляемая хакером лампочка с обновленной микропрограммой использует уязвимости протокола ZigBee, чтобы вызвать переполнение буфера на мосту управления, посылая ему большой объем данных. Эти данные также позволяют хакеру установить вредоносное ПО на мосту, который, в свою очередь, подключен к нужной компании или домашней сети.

5. Вредоносная программа подключается обратно к хакеру и злоумышленник, используя известный эксплойт (например, такой как EternalBlue), может проникать в нужную IP-сеть с моста для распространения вымогателей или шпионских программ.

«Многие из нас знают, что IoT- устройства могут быть небезопасны. Это исследование показывает, что даже самые обыденные, казалось бы, простейшие устройства, такие как лампочки, могут быть использованы хакерами для захвата сетей и внедрения вредоносных программ, рассказывает Янив Балмас, глава отдела кибер-исследований в подразделении Check Point Research. — Очень важно, чтобы организации и обычные пользователи защищали себя от возможных атак, регулярно обновляя свои устройства и отделяя их от других компьютеров в своих сетях. Это нужно, чтобы ограничить возможное распространение вредоносных программ. Сейчас, в сложном ландшафте атак пятого поколения, необходимо контролировать все, что связано с нашими сетями».

Исследование, проведенное с помощью Института информационной безопасности Check Point (CPIIS) в Тель-Авивском университете, было раскрыто компаниям Philips и Signify (владелец бренда Philips Hue) в ноябре 2019 года. Компания Signify подтвердила существование уязвимости в их продукте, и выпустила исправленную версию прошивки (Firmware 1935144040), которая теперь доступна через автоматическое обновление.