Исследователи вновь предупреждают о старых брешах IoT

11 февраля 2019 г., понедельник

В последние месяцы взломщики Интернета вещей стали активнее искать устройства с устаревшими версиями ПО.

Операторы IoT-ботнетов все чаще используют давно известные уязвимости для расширения своих сетей. С декабря 2018 года по январь 2019-го аналитики Arbor Networks зафиксировали двукратный рост подобных атак. При этом брешь, которую преступники использовали чаще всего, описали еще в 2015 году.

Речь об уязвимости CVE-2014-8361, которая присутствует в одном из сервисов Realtek SDK. Брешь, позволяющая выполнить сторонний код, возглавляет рейтинг на протяжении последних четырех месяцев. В список также попали RCE-бреши CVE-2017-17215, CVE-2015-2051 и баг CVE-2018-10561, позволяющий обойти систему аутентификации на домашних роутерах Dasan.

Все эти уязвимости нередко попадают в новости в связи с бурно растущими IoT-ботнетами. Эксперты знают их еще по атакам ботнета Mirai в 2016 году. Позже те же бреши использовались для распространения его наследников — Satori, Wicked, Miori. Уязвимости позволили буквально за сутки построить сеть из 18 тыс. зараженных устройств и атаковать высокопроизводительные серверы для обработки больших данных.

По подсчетам исследователей, в отчетный период сканирование уязвимых портов, связанных с самыми популярными эксплойтами, выросло на 218%. Основная часть полезной нагрузки, которую преступники пытаются распространять, связана с продолжателями Mirai. Остается актуальной и угроза Hadoop Yarn — за последние четыре месяца эксперты увидели резкий скачок таких атак.

Все это происходит на фоне укрепления базовой защиты IoT-устройств. Производители принимают меры против использования заводских учетных данных — одной из главных причин появления зомби-сетей, с которой уже давно борются ИБ-эксперты. Как показало исследование, обновить прошивку IoT-устройства, чтобы защитить его от обнаруженной уязвимости, может быть сложнее, чем заставить пользователя придумать оригинальный пароль для нового роутера.

В декабре эксперты уже привлекали внимание к проблемам незакрытых брешей в Интернете вещей. Тогдашнее исследование показало, что незащищенное устройство могут взломать уже через пять минут после подключения к Сети.

Threatpost