Hackeři mohli pomocí zranitelnosti v populárním protokolu ZigBee zneužít chytré žárovky a řídící jednotku k šíření ransomwaru, spywaru nebo jiného v podnikových a domácích sítích i na úurovni celých chytrých měst.
Výzkumníci Check Point Research se zaměřili na populární chytré žárovky a řídící jednotku Philips Hue a našli zranitelnosti (CVE-2020-6007), které jim umožnily proniknout do sítě pomocí bezdrátového protokolu ZigBee, používaného k řízení různých IoT zařízení.
V analýze zabezpečení chytrých žárovek ovládaných ZigBee, která byla zveřejněna v roce 2017, byli výzkumníci schopni převzít kontrolu nad žárovkou Hue, nainstalovat do ní škodlivý firmware a šířit se do dalších žárovek v síti. Výzkumný tým Check Point Research se rozhodl předchozí práci o krok posunout a použil žárovku Hue jako platformu k převzetí kontroly nad řídící jednotkou a ve finále k útoku na celou počítačovou síť.
Scénář útoku:
1. Hacker ovládá barvu nebo jas žárovky, aby přiměl uživatele si myslet, že žárovka má závadu. Žárovka se v ovládacím panelu uživatele zobrazí jako „nedostupná“, takže se ji pokusí „resetovat“.
2. Jediný způsob, jak žárovku resetovat, je odstranit ji z aplikace a následně ji nechat znovu vyhledat přes řídící jednotku.
3. Řídící jednotka najde infikovanou žárovku a uživatel ji přidá zpět do své sítě.
4. Hackerem ovládaná žárovka s aktualizovaným firmwarem pak s využitím zranitelnosti v protokolu ZigBee způsobí přetečení vyrovnávací paměti v řídící jednotce pomocí velkého množství zasílaných dat. Útočníkům to zároveň umožní nainstalovat malware do řídící jednotky, která je připojena k podnikové nebo domácí síti.
5. Malware se znovu spojí s útočníky a využije nějaký známý exploit (například EternalBlue), takže útočníci mohou infikovat cílovou IP síť přes řídící jednotku a šířit ransomware nebo spyware.
O výsledcích výzkumu, realizovaného ve spolupráci s Check Point Institute for Information Security (CPIIS) na univerzitě v Tel Avivu, byly informovány společnosti Philips a Signify (vlastník značky Philips Hue) v listopadu 2019. Signify potvrdilo zranitelnost ve svých produktech a vydalo opravu firmwaru (firmware 1935144040), který je nyní k dispozici na webu. Uživatelé by se měli ujistit, že jejich produkty používají nejnovější verzi firmwaru.
Ukázka útoku: