L’avvertimento di Netscout indica come le botnet IoT siano rapide e incisive: gli attaccanti si stanno adeguando alla maggiore sicurezza dei dispositivi IoT. Infatti l’azione degli aggressori viene deviata verso lo sfruttamento delle vulnerabilità presenti in tali dispositivi IoT che va quindi ad integrarsi alle attività di accesso alle password predefinite in fabbrica o a soppiantarle completamente. Dal momento che la sicurezza dei dispositivi IoT si trova ancora in fase embrionale, non è inconsueto che si presentino vulnerabilità basilari quali il command injection.
Nei propri attacchi, gli autori di botnet IoT sfruttano sempre più spesso le vulnerabilità correlate all’IoT affiancandole alle consuete attività di forza bruta. In alcuni casi gli aggressori scelgono di accompagnare le tecniche di brute force a tentativi di fare leva su vulnerabilità note.
Le vulnerabilità correlate all’IoT restano validi vettori di attacco per periodi prolungati per via delle difficoltà e della lentezza nello sviluppo di patch per i dispositivi IoT.
Il ricorso alle vulnerabilità basate sull’IoT ha permesso agli autori di botnet di accrescere agevolmente la quantità di dispositivi nei rispettivi botnet.
Si nota una corrente costante di vulnerabilità correlate all’IoT sia nuove che datate rispetto agli honeypot esterni. Sono due i motivi fondamentali per cui i tentativi di sfruttare le vulnerabilità IoT meno recenti siano ancora frequenti. In primo luogo, i dispositivi IoT possono restare “parcheggiati” negli scaffali per settimane prima di essere acquistati. Nel caso venga distribuita la release di un aggiornamento della sicurezza per tali dispositivi, chiaramente le nuove misure di sicurezza non entrano in funzione finché non si provvede all’aggiornamento del software. Di conseguenza, il dispositivo appena messo in funzione è vulnerabile. A
l momento del collegamento, la vulnerabilità del dispositivo IoT può quindi essere sfruttata molto rapidamente. I dati di honeypot mostrano che soltanto cinque minuti dopo il collegamento a Internet del dispositivo, qualcuno inizia a effettuarne la scansione e a tentare l’accesso con forza bruta. Il secondo motivo è la lentezza sconfortante con cui i dispositivi IoT ricevono le patch. Questi dispositivi, infatti, vengono considerati strumenti da azionare e abbandonare a sé stessi.
Osservando i dati honeypot nel mese di novembre Netscout ha riscontrato una serie enorme di attività legate allo sfruttamento di Hadoop YARN come descritto in “Mirai: Not Just For IoT Anymore”.
Nell’ambito degli assalti legati alle richieste ad Hadoop YARN è stato notato un insieme di vulnerabilità IoT più obsolete quali CVE-2014-8361, CVE-2015-2051, CVE-2017-17215 e CVE-2018-10561. Poiché le patch per i dispositivi IoT vengono rilasciate a passo di lumaca, i botnet IoT continuano a fare leva sulle vulnerabilità meno recenti che permettono di mettere a segno un alto numero di attacchi. L’uso continuativo di queste vulnerabilità comprovate e reali evidenzia che, in ambito di botnet IoT, “il vecchio è sempre attuale”.
Riepilogando:
– I dispositivi IoT prima o poi ricevono patch, ma non con la stessa rapidità né allo stesso livello di priorità di cui godono i sistemi operativi. Di conseguenza, la longevità e la sfruttabilità delle vulnerabilità basate sull’IoT sono di gran lunga più estese e allettanti per gli autori di botnet. Questa tendenza è evidente nei dati honeypot.
– Considerato l’enorme numero di dispositivi IoT collegati a Internet, è facile e immediato trovarne di vulnerabili. Se a questo si aggiunge l’ampio delta costituito da quando il dispositivo vulnerabile viene “acceso” e da quando vengono applicati gli aggiornamenti per le vulnerabilità legate alla sicurezza, è evidente che gli aggressori riescono a organizzare rapidamente botnet considerevoli.
– Concluso ormai il 2018 e agli albori del 2019, siamo testimoni di un costante incremento nello sfruttamento delle vulnerabilità basate sull’IoT. La semplicità nell’aggiornamento del codice sorgente dei botnet come il Mirai per sfruttare tali vulnerabilità incide notevolmente in questo senso. La capacità di creare botnet di grandi dimensioni in tempi brevissimi e con risorse minime è alla base della tendenza alla crescita mostrata dai botnet IoT.