Hikvision akıllı interkomun komşu cihazlarını casusluk cihazlarına dönüştürebilen endişe verici bir Nesnelerin İnterneti siber saldırı vektörü ortaya çıkarıldı.
Saldırıyla ilgili yakın tarihli bir blog yazısında Skylight Cyber’deki araştırmacılar, bu tür cihazların casus yazılım saldırılarında kullanılma potansiyelinin işletmeler ve kuruluşlar için endişe verici olması gerektiği, çünkü bir saldırganın potansiyel olarak bir bireyin hayatına erişim kazanarak gizliliklerini inkar edebileceği konusunda uyardı.
Hikvision cihazları, kolayca bulunabilmeleri ve markanın popüler olması nedeniyle bu araştırma için özel olarak seçildi. Araştırmacılar iki interkom ürünü olan DS-KH6210-L ve DS-KH6320-WTE1 üzerinde test yaptı; Diğer şeylerin yanı sıra, kapı kontrolörleri, kameralar ve diğer interkomlar gibi normal bir komplekste bulunan diğer cihazlarla nasıl etkileşime gireceklerini gözlemlemek için bir apartman dairesindeki cihazları test ettiler. Bağlantı noktası yansıtma, araştırmacıların “cihaza giren ve çıkan tüm trafiği yakalamasına” olanak tanıyacak şekilde cihaz içinde yapılandırıldı.
İhlal Senaryosunun Düzeni
Skylight Cyber araştırmacılarına göre bir saldırıyı tamamlamak o kadar da zor değil, çünkü potansiyel bir saldırganın aslında kötü niyetli bir eylem gerçekleştirmek için çok fazla araca ihtiyacı yok.
Skylight Cyber CEO’su Adi Ashkenazy, “Bir saldırganın bu saldırıyı gerçekleştirmek için ağ erişimine ihtiyacı olacaktır ve bu sistemlerin genellikle internete bağlı olmadığı göz önüne alındığında, bu, hedef binaya fiziksel erişim anlamına gelir” diyor. “Fiziksel erişime sahip olduğunuzda, bir Ethernet bağlantı noktasına bağlanmanız gerekir; bu, binadaki bir daire veya lobi aracılığıyla yapılabilir.”
Şunları ekliyor: “Ekipman açısından, yalnızca bir Ethernet kablosuna ve bir dizüstü bilgisayara ihtiyacınız var ve iyi bir önlem olarak bir tornavidayı da dahil ederiz. Saldırıyı gerçekleştirmek için gereken genel uzmanlık düzeyi oldukça düşük.”
Bir apartmanın veya ofisin Hikvision cihazlarını, özellikle de interkomlarını kullandığı ve birisinin bir kiracıyı gözetlemeye – gizlice dinlemeye – ilgi duyduğu bir durumda, saldırganın interkomun Ethernet kablosunu duvardan çıkarması ve bunun yerine cihazı takması gerekir. normal bir Ethernet kablosu kullanarak bir dizüstü bilgisayara. Bu noktada birey, bu gizli ihlali başlatmak için gerekli ağ erişimine sahip olacaktır.
Ashkenazy, daha sonra “ağdaki herhangi bir hedef cihazın (komşularınızın dahili telefonları) yönetici şifresini kaba kuvvetle zorlamak için GitHub’umuzda bulunan bir komut dosyasını çalıştırıyorsunuz” diyor. “Yönetici şifresini aldıktan sonra, hedef interkom cihazında oturum açar ve çeşitli yollardan biriyle korunan kabuktan çıkarsınız. [covered in the research]”
Bir kişi, dizüstü bilgisayardan tek bir komut çalıştırarak bir cihaza tam erişim elde edebilir ve mikrofon dahil tüm işlevlerini kullanabilir.
Potansiyel Casus Yazılımın Önemi
Elinde kablo, dizüstü bilgisayar ve tornavida bulunan bir saldırgan, yönetici şifresine giden yolu kaba kuvvetle çalıştırmayı ve korumalı kabuğu kırarak sınırsız erişimi güvence altına almayı başarırsa, en kötü senaryo, mikrofonu açabilmesidir. cihaz.
“Bir kez sahip olduğunda [that] Ashkenazy, erişim seviyesi sayesinde binada dahili telefonu olan herkesin konuşmasını gizlice dinleyebilirsiniz, diye ekliyor.
Olumlu tarafı, ekibin bu tür saldırılara dair bir kanıt görmemiş olması ve Hikvision’un web sitesinden indirilebilecek bir yama uygulamasıdır. Ancak yama yapmanın önündeki engeller devam ediyor.
“Hikvision [was] Cevap vermek oldukça hızlı, bu yüzden onlara şapka çıkartıyorum. Ancak bildiğimiz kadarıyla, düzeltme konusunda seçici davranıyorlar, kimlik doğrulama bypass’ına odaklanıyorlar ve kabuk kaçışını yerinde bırakıyorlar” dedi.
Ayrıca, potansiyel bir kiracı, yönetici şifresine erişimi olmadığı için kendi kendine düzeltme ve düzeltme eki uygulayamaz; dolayısıyla düzeltme eki uygulama işlemi teknisyenler tarafından gerçekleştirilir ve süreç manueldir; bu, bu güncelleştirmelerin gerektiği kadar sık uygulanmadığı anlamına gelir. Dolayısıyla birçok kişinin ve işletmenin açığa çıkmaya devam etmesi iyi bir ihtimal.
Araştırmacılar, “Bu durumun önemli ölçüde yamalanana kadar vahşi ortamda istismar edilebileceğine inanıyoruz, bu nedenle tam kullanım kitini yayınlamadık” diye ekliyor.
Skylight Cyber’in belirttiği gibi, ileriye dönük olarak işletmelerin ve mülk sahiplerinin IoT güvenlik risklerini azaltmak için seçenekleri var – “saygın satıcılarla çalışmak, ürünlerin güvenlik mimarisini gözden geçirmek veya düzenli olarak yamalandığından emin olmak”. “Açık olmak gerekirse, dünya çapında muhtemelen şu anda sömürülebilir durumda olan binlerce apartman var, bu da binadaki her dairenin gizlice dinlenmeye açık olduğu anlamına geliyor.”