De duistere kant van slimme verlichting: Check Point Research ontdekt mogelijkheid netwerken binnen te dringen via de gloeilamp

CPX 360 Europe, Wenen – Check Point Research, de Threat Intelligence-tak van Check Point Software Technologies, heeft tijdens zijn jaarlijkse CPX 360 Europe-conferentie enkele beveiligingslekken onthuld waarmee een hacker ransomware of andere malware op een IT-netwerk kan verspreiden door slimme lampen en hun controle-unit over te nemen.

Philips Hue en ZigBee

De onderzoekers van Check Point toonden aan hoe een cybercrimineel slimme verlichting, een van de populairste Internet of Things (IoT)-toepassingen, kon exploiteren om aanvallen te lanceren op computernetwerken thuis, bij bedrijven of zelfs op slimme steden. De onderzoekers focusten op de lampen en controle-unit van Philips Hue, de slimme verlichting van Philips.  De specialisten van Check Point vonden kwetsbaarheden (CVE-2020-6007) waarmee ze netwerken konden infiltreren met behulp van een exploit in het ZigBee protocol, een open standaard voor low-power draadloze connectie tussen verschillende IoT-apparaten.

In een eerder gepubliceerde analyse (2017) over de beveiliging van via ZigBee aangestuurde slimme verlichting, konden onderzoekers de controle over een Hue-gloeilamp in een netwerk overnemen, daarop schadelijke firmware installeren die zich kon verspreiden naar andere aangrenzende verlichtingsnetwerken. Op basis van dit onderzoek en de kwetsbaarheid besloten de onderzoekers van Check Point om een stap verder te gaan. Ze gebruikten de Philips Hue-lamp als een platform om de Philips Hue Bridge, de link tussen de lampen, de besturing en andere slimme apparaten, over te nemen en uiteindelijk het computernetwerk van het slachtoffer aan te vallen. Check Point merkt wel op dat in de recentere generaties van Hue-lampen dit misbruikte beveiligingslek al is gedicht.

Aanval in vijf eenvoudige stappen

Het aanvalsscenario is als volgt opgebouwd:

1. De hacker regelt de kleur of helderheid van de lamp om gebruikers te laten geloven dat de lamp een storing heeft. De lamp verschijnt dan als ‘Onbereikbaar’ in de bedieningsapp van de gebruiker. De gebruiker zal deze proberen te resetten.
2. De enige manier om de lamp opnieuw in te stellen, is door deze uit de app te verwijderen en de bedieningsbrug (Hue Bridge) vervolgens de opdracht te geven om de lamp opnieuw te vinden.
3. De bridge ontdekt de gecompromitteerde lamp en de gebruiker voegt deze weer toe aan zijn netwerk.
4. De gehackte lamp gebruikt vervolgens de kwetsbaarheden van het ZigBee-protocol om een bufferoverloop op de bridge te activeren, door er een grote hoeveelheid gegevens naartoe te sturen. Via deze data kan de hacker ook malware op de bridge installeren – die op zijn beurt is verbonden met het bedrijfs- of thuisnetwerk.
5. De malware maakt verbinding met de hacker en met behulp van een bekende exploit (zoals EternalBlue) kan deze vanaf de bridge het IP-netwerk infiltreren om ransomware of spyware te verspreiden.

Hier is een demo-video van hoe de aanval werkt.

“Velen zijn zich ervan bewust dat IoT-apparaten een beveiligingsrisico kunnen vormen. Dit onderzoek laat echter zien hoe zelfs de meest alledaagse, schijnbaar ‘domme’ apparaten zoals lampen door hackers worden overgenomen en worden gebruikt om netwerken over te nemen of malware te verspreiden”, zegt Yaniv Balmas, hoofd van Cyber ​​Research, Check Point Research. “Het is cruciaal dat organisaties en individuen zichzelf beschermen tegen deze mogelijke aanvallen door hun apparaten met de nieuwste patches up-to-date te houden en ze te scheiden van andere apparaten op hun netwerken. Zo kun je de mogelijke verspreiding van malware beperken. Met de steeds complexere en nieuwste generatie aanvalsmethodes kan je het je niet veroorloven om de beveiliging van alles wat op jouw netwerk is aangesloten, over het hoofd te zien.”

Verplichte openbaarmaking

Het onderzoek werd uitgevoerd met behulp van het Check Point Institute for Information Security (CPIIS) aan de Universiteit van Tel Aviv. In november 2019 werden Philips en Signify (eigenaar van het merk Philips Hue) op de hoogte gebracht. Signify bevestigde het bestaan ​​van het beveiligingslek in hun product en heeft een gepatchte firmwareversie uitgegeven (Firmware 1935144040). Deze wordt nu via een automatische update uitgevoerd. We raden gebruikers aan om ervoor te zorgen dat hun product de automatische update van deze firmwareversie heeft ontvangen.

“Het beschermen van de privacy van onze gebruikers is voor ons belangrijk. We doen er alles aan om onze producten veilig te maken. We zijn Check Point dan ook dankbaar voor de verantwoorde openbaarmaking en de samenwerking, want het heeft ons in staat gesteld de nodige patches te ontwikkelen en te sturen om te voorkomen dat consumenten in gevaar komen”, zegt George Yianni, Head of Technology bij Philips Hue.

Check Point is de eerste leverancier die een geconsolideerde beveiligingsoplossing biedt die de firmware van IoT-apparaten versterkt en beschermt. Met behulp van recent overgenomen technologie stelt Check Point organisaties in staat om de aanvallen op het niveau van de toestellen te beperken voordat de apparaten worden gecompromitteerd via hun on-device run time bescherming.

—————–

Over Check Point

Check Point Software Technologies Ltd. biedt cybersecurity-oplossingen voor overheden en enterprises wereldwijd. Het beschermt klanten tegen cyberaanvallen met een ongeëvenaarde vangstratio van malware, ransomware en andere soorten aanvallen. Check Point biedt een multi-level security-architectuur die de netwerken tot en met de mobiele toestellen van bedrijven beschermt. plus het meest uitgebreide en intuïtieve beheersysteem. Check Point beschermt meer dan 100.000 organisaties van elke omvang.