Um pesquisador precisou de apenas 20 minutos na semana passada para explicar como alguns dos mais populares do mercado de dispositivos da Internet das Coisas (IoT) podem ser quebrados.
Jan Hoersch, consultor de segurança de TI da Securai GmbH, uma pequena empresa de pentest em Munique (Alemanha), descreveu as vulnerabilidades que afetaram muitos dispositivos IoT, como roteadores de viagens e scanners de retina em uma palestra na Security Analyst Summit da Kaspersky Lab.
Hoersch começou sua palestra na terça-feira analisando um roteador de viagens, M5250, feito pela TP-LINK, alertando que as credenciais do administrador do dispositivo podem ser obtidas via SMS. De acordo com o pesquisador, se um atacante envia um SMS para o roteador, ele envia de volta os dados, incluindo informações de login, como o usuário (login), SSID e senha do administrador, em texto simples.
“Não precisa estar online, basta estar ligado”, disse Hoersch para a platéia na terça-feira.
Como o M5250, a maioria dos dispositivos que Hoersch descreveu em sua palestra foram roteadores de viagens.
Um roteador fabricado pela StarTech foi talvez o mais afetado. Se ele for acessível através da rede ou porta LAN, um atacante pode executar o payload e espalhá-lo, afirma Hoersch.
“Eu trouxe para uma conferência uma vez, nós o ligamos, determinado que o telnet estava aberto, digitado root e tenho um shell”, disse Hoersch. “Acontece que ele tem uma senha de root hard-coded, que é root… e você não pode alterá-la.”
“Muitas das vezes você encontra senhas codificadas”, disse Hoersch sobre sua pesquisa, “na maioria das vezes eles estão lá para serem explorados, como um backdoor”.
Outro dispositivo, uma câmera IP ativada pela VStarcam, com base na China, possui senhas facilmente quebradas, disse Hoersch.
Hoersch disse ter revisado a câmera no ano passado e mesmo depois que uma atualização foi lançada, ainda foi capaz de obter um shell root e as senhas do dispositivo. Ele tentou, assim como muitos pesquisadores fazem, quebrar senhas via Google e encontrou a mesma senha hashes que estava tentando quebrar na seção comentários de um artigo a partir de 2014.
“Cheguei a conclusão de que é a mesma explicação nas configurações de FTP, isso é injeção de comando básica, não é um problema de corrupção de memória, apenas uma injeção”, disse Hoersche, “é fácil obter o shell, o backup da senha e o login para a câmera.”
Outro roteador de viagem, o Hootoo TripMate, manipula atualizações de firmware via arquivos bash. Hoersch disse à platéia que, se ele simplesmente mudasse algumas configurações, ele poderia carregar um script bash em qualquer lugar que ele quisesse, sem estar autenticado, elevar credenciais e disparar uma atualização de firmware como root.
Outro dispositivo, um roteador de viagem fabricado pela TrendNet -TEW714TRU, também torna a injeção de comando fácil, disse Hoersch. Um invasor poderia injetar comandos não autenticados em uma porta LAN e combiná-los com uma vulnerabilidade de execução remota de código em outra camada, disse ele.
“Este é muito ruim, porque mostrar o architectural design deste dispositivo não é como deveria ser, afinal, você não deve ser capaz de executar comandos como esse”, disse Hoersch, “[TrendNet] corrigiu, mas a vulnerabilidade ainda está lá, mas é autenticada… é um começo.”
Outro dispositivo, um scanner de retina – o retiniano Panasonic BM-ET2000, sofre de bug (bypass) na autenticação, afirmou o pesquisador. O dispositivo possui um sistema de login defeituoso que poderia permitir a um atacante redirecionar-se no dispositivo como sendo root ou admin.
O pesquisador admitiu que o dispositivo não é exatamente um dispositivo de consumo: “nem todo mundo tem um scanner de retina em casa anexado à porta da frente, mas eu tive um por algum tempo”, disse Hoersch. Embora o dispositivo esteja listado como descontinuado em vários sites eletrônicos, Hoersch sugeriu que alguns usuários ainda poderiam estar vulneráveis.
Hoersch planejou originalmente discutir vulnerabilidades em 10 dispositivos, mas os fornecedores corrigiram quatro dos bugs que ele iria revelar antes de sua conversa. Vários dos dispositivos, incluindo o roteador TP-Link e o roteador HooToo, estão prontamente disponíveis na Amazon, no entanto, é algo que deixa a porta aberta para utilização de ataques generalizados, advertiu Hoersch.
Nenhum dos fornecedores retornou de forma imediata o pedido de comentários quando foram contactados pelo Threatpost na segunda-feira.
O pesquisador, como um final, planejou aprofundar 85 bugs que ele encontrou nos dispositivos MyCloud da Western Digital, mas pesquisadores com Exploitee.rs o derrotaram quando revelaram os bugs no mês passado. De acordo com Exploitee.rs, muitos dos dispositivos NAS boxes ainda são vulneráveis. O grupo tuitou na semana passada, dizendo que, mesmo depois que a Western Digital lançou uma atualização para EX2/EX4 e Mirror, “a maioria dos modelos ainda permanecem vulneráveis aos 83 roots RCEs.”
Hoersch disse que os bugs são todos interessantes, mas são essencialmente os mesmos.
“Você tem alguns parâmetros e pode inseri-los em um comando que fica aberto e, assim, você pode chegar a qualquer lugar”, disse Hoersch.
Em vez de entrar em detalhes sobre as vulnerabilidades da Western Digital, Hoersch usou o final de sua conversa como um soapbox e salientou como é crucial a comunicação entre caçadores de bugs e fornecedores.
“Como você divulga 85 bugs? Não é possível para uma pequena empresa”, disse Hoersch. “Toda vez que eu tento divulgar um bug, eu preciso de 45 minutos para explicar isso aos fornecedores, e isso é tempo demais.”
Hoersch também reconheceu que mais empresas deveriam ter programas de recompensas de bugs, ou então, apenas criarem um meio para os pesquisadores entrarem em contato.
“Por favor, deixem os pesquisadores ajudarem os caras do desenvolvimento”, disse Hoersch. “É de extrema importância que as empresas façam programas de recompensas de bugs, mesmo que não deem recompensas, mas que apenas deixe que eles tenham uma maneira de divulgar bugs sem ter que escrever cinco e-mails, isso leva muito tempo – para alguns pesquisadores independentes isso não é possível.”
“A maioria de nós irá divulgar de forma completa, porque é um aborrecimento enorme ir atrás dos fornecedores, e isso não é como deveria ser,” disse ele.
Publicado originalmente no ThreatPost em 10 de abril de 2017.
Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.
Autor: Chris Brook
Tradução por Tiago Souza
Imagem deste post: ThreatPost