Организаторы атак на Интернет вещей все чаще применяют известные бреши в дополнение к простому подбору паролей. Преступники делают ставку на то, что владельцы подключенных устройств пропускают обновления ПО, зачастую оставаясь уязвимыми перед угрозами двух-трехлетней давности.

Как выяснили специалисты Arbor Networks, злоумышленники довели эффективность поиска незащищенных хостов до максимума. В ходе проведенного эксперимента боты начали брутфорсить специально созданную приманку уже спустя 5 минут после подключения. В первые сутки ханипот столкнулся с попытками заражения через несколько известных уязвимостей.

Кибербезопасность IoT-устройств пока находится в зачаточном состоянии, они зачастую подвержены самым тривиальным уязвимостям — например несанкционированному внедрению команд.

«У этой проблемы две причины, — поясняют авторы отчета. — Во-первых, IoT-устройства могут долго лежать на складе, пока их не купит пользователь. В этом случае девайс будет уязвим с того момента, как его достанут из коробки. Во-вторых, производители крайне медленно выпускают патчи для своих продуктов. По сравнению с [крупными] операционными системами у IoT гораздо более низкий приоритет обновлений».

Фактически устранение уязвимости каждого конкретного устройства зависит от того, поставит ли его владелец новую прошивку. Именно поэтому исследователи так обеспокоены скоростью, с которой преступники находят незащищенные хосты. Это позволяет злоумышленникам быстро собирать ботнеты, которые становятся движущей силой крупных DDoS-кампаний.

Эксперты приводят в пример недавние атаки на высокопроизводительные серверные кластеры под управлением Hadoop YARN. Ежедневно преступники предпринимали десятки тысяч попыток взломать эти сервисы, используя при этом комбинацию давно известных уязвимостей, связанных с IoT; самая старая из них относится еще к 2014 году.

Речь идет о бреши CVE-2014-8361, позволяющей выполнить сторонний код через один из сервисов в SDK Realtek. Чуть младше — идентичная ей уязвимость 2015 года CVE-2015-2051. Две другие, CVE-2017-17215 (отправка несанкционированных команд) и CVE-2018-10561 (перехват управления над устройством), датируются соответственно 2017-м и 2018-м.

Специалисты заключают, что в следующем году количество атак на Интернет вещей будет только расти. Учитывая, что сегодняшние ботнеты набирают разрушительную мощь буквально за сутки, а операторы постоянно расширяют их применение, ИБ-специалистам лучше уже сейчас подумать о защите IT‑инфраструктуры.

Категории: Аналитика, Главное, Хакеры