Centenas de milhares de implantações máquina a máquina inseguras, descobertas pela Trend Micro, colocam as organizações globais em risco
Em apenas quatro meses, os pesquisadores da Trend Micro identificaram mais de 200 milhões de mensagens MQTT (Message Queuing Telemetry Transport) e mais de 19 milhões de mensagens CoAP (Constrained Application Protocol) foram vazadas por brokers e servidores expostos. Usando pesquisas por palavras-chave simples, os invasores mal-intencionados conseguiam localizar esses dados de produção vazados, identificando informações lucrativas sobre ativos, pessoal e tecnologia, que podem ser usadas para ataques direcionados.
A pesquisa mostra como os invasores podem controlar remotamente endpoints de dispositivos conectados ou fazer ataque de negação de serviço, aproveitando os problemas de segurança no design, implementação e implantação de dispositivos que usam esses protocolos. Além disso, ao abusar de funcionalidades específicas nos protocolos, os hackers poderiam manter um acesso persistente a um alvo enquanto movem-se lateralmente pela rede.
Segundo o estudo, esses protocolos não foram projetados com sistemas de segurança e, entretanto, são encontrados em uma variedade cada vez maior de ambientes de missão crítica e casos de uso, representando um grande risco de segurança cibernética. Hackers, mesmo com recursos ainda modestos, podem explorar essas falhas e vulnerabilidades para realizar reconhecimento, movimentação lateral, roubo de dados encobertos e ataques de negação de serviço.
A pesquisa mostra também como os invasores podem controlar remotamente os pontos de extremidade de IoT ou negar o serviço, aproveitando os problemas de segurança no design, implementação e implantação de dispositivos usando esses protocolos. Além disso, ao abusar de funcionalidades específicas nos protocolos, os hackers poderiam manter um acesso persistente a um alvo para mover-se lateralmente por uma rede.
Algumas vulnerabilidades também foram identificadas por meio dessa pesquisa, que foram divulgadas por meio da Zero Day Initiative (ZDI) da Trend Micro: CVE-2017-7653, CVE-2018-11615 e CVE-2018-17614. Um exemplo do impacto que essas vulnerabilidades poderiam ter, a CVE-2018-17614 é uma operação fora dos limites que pode permitir que um invasor execute código arbitrário em dispositivos vulneráveis que implementam um cliente MQTT.
Embora não tenham sido encontradas novas vulnerabilidades do CoAP, o relatório reforça que o CoAPé baseado no protocolo de datagrama de usuário e segue um esquema de solicitação-resposta, tornando-o um bom ajuste para ataques de amplificação.
Para atenuar os riscos destacados na pesquisa, a Trend Micro recomenda que as empresas:
1. Implementem políticas adequadas para remover serviços M2M desnecessários;
2. Executem verificações periódicas usando serviços de varredura em toda a Internet para garantir que dados confidenciais não vazem por meio de serviços públicos de IoT;
3. Implementem um fluxo de trabalho de gerenciamento de vulnerabilidades ou outros meios para proteger a cadeia de suprimentos;
4. Mantenham-se atualizadas com os padrões da indústria, pois esta tecnologia está evoluindo rapidamente.
