Nell’ultima ricerca intitolata “The Fragility of Industrial IoT’s Data Backbone”, Trend Micro ha lanciato un allarme sulla vulnerabilità dei protocolli IoT.
La ricerca è stata sviluppata da Federico Maggi, ricercatore italiano di Trend Micro Research, in collaborazione con il Politecnico di Milano e rivela che due tra i principali protocolli IoT sono a rischio attacco. Ciò a causa di vulnerabilità significative nella progettazione, e questo rende i dispositivi esposti a rischi.
Trend Micro ha trovato difetti e vulnerabilità all’interno di Message Queuing Telemetry Transport (MQTT) e Constrained Application Protocol (CoAP). Questi sono due protocolli machine-to-machine (M2M) molto utilizzati. I punti deboli individuati possono essere sfruttati a fini di spionaggio industriale, attacchi mirati o di tipo denial-of-service.
I protocolli IoT
Message Queuing Telemetry Transport (MQTT) è un protocollo di publish-subscribe che facilita la comunicazione one-to-many mediata da broker. I client possono pubblicare messaggi su un broker e iscriversi a un broker per ricevere determinati messaggi. I messaggi sono organizzati per topic, che sono essenzialmente “etichette” e agiscono da sistema per inviare messaggi agli abbonati.
Constrained Application Protocol (CoAP) è un protocollo client-server che, a differenza di MQTT, non è ancora standardizzato.
In un periodo di 4 mesi, spiega Trend Micro, i ricercatori hanno scoperto che oltre 200 milioni di messaggi MQTT e più di 19 milioni di messaggi CoAP erano stati trafugati a causa di server esposti. Gli attaccanti possono localizzare questi dati fuoriusciti utilizzando semplici parole di ricerca. E possono trasformarli in informazioni su asset, personale o tecnologie che possono essere utilizzate per attacchi mirati.
La ricerca di Trend Micro sulla fragilità dell’IoT
La ricerca dimostra, illustra Trend Micro, come gli attaccanti possono controllare da remoto gli endpoint IoT o compiere attacchi denial-of-service. Inoltre, sfruttando funzionalità specifiche dei protocolli, gli hacker possono mantenere l’accesso permanente a un obiettivo e muoversi lateralmente lungo la rete.
Attraverso questa ricerca sono state identificate anche diverse vulnerabilità, rese pubbliche dalla Zero Day Initiative (ZDI): CVE-2017-7653, CVE-2018-11615 e CVE-2018-17614.
I ricercatori di Trend Micro fanno alcuni esempi delle vulnerabilità di questi protocolli, tra cui il seguente.
Mentre cercavano dati leaked relativi a smart city, hanno notato un gruppo di record che conteneva indirizzi e-mail e nomi di località di aziende. Scavando un po’ di più, hanno scoperto che questi record erano viaggi in taxi o in car-sharing prenotati da dipendenti che viaggiavano da e verso i loro uffici. I record contenevano inoltre informazioni precise sul tempo, che potevano consentire a un attaccante di sapere chi stava andando e dove.
I ricercatori hanno scoperto anche record esposti nel settore manifatturiero, su PLC, sistemi di controllo, processi di produzione. Persino richieste di manutenzione urgente. Informazioni di questo tipo potrebbero essere utilizzate per tracciare macchine connesse o dipendenti di società potenzialmente di alto profilo. E questi sono solo alcuni esempi di come i dati esposti in smart city, fabbriche e alcuni settori potrebbero consentire a un aggressore di preparare un attacco basato sui dati sensibili trapelati.
Cosa fare
Trend Micro offre alcune raccomandazioni per far fronte ai rischi evidenziati dalla ricerca.
Innanzitutto implementare le corrette policy per rimuovere i servizi M2M che non sono necessari. Effettuare controlli periodici utilizzando servizi di scansione internet-wide, per assicurarsi che i dati sensibili non vengano trafugati attraverso servizi IoT pubblici.
Poi, implementare un workflow per la gestione delle vulnerabilità, per proteggere la supply chain. E mantenersi al passo degli standard industriali, perché la tecnologia è in continua evoluzione.
Federico Maggi, Senior Threat Researcher Trend Micro, ha detto che “Le criticità che abbiamo scoperto nei due protocolli maggiormente utilizzati dai dispositivi IoT devono essere prese in seria considerazione dalle aziende e possono rappresentare l’occasione per un approccio olistico alla sicurezza degli ambienti OT. Questi protocolli non sono stai progettati pensando alla security, ma sono utilizzati in un numero sempre maggiore di ambienti critici e questo rappresenta un grande rischio. Anche hacker con risorse limitate possono sfruttare questi difetti di progettazione e vulnerabilità, per compiere movimenti laterali, furti di dati o attacchi denial-of-service”.
A questo link è possibile consultare il report completo di Trend Micro, in formato Pdf. A questo link è invece possibile leggere l’articolo di riassunto del report, in inglese.
