据防火墙安全方案商SonicWall指出,黑客正积极搜索互联网并劫持智慧门/建筑访问控制系统,然后借此发动分布式拒绝服务(DDoS)攻击。目前确知Nortek Security & Control(NSC)旗下Linear eMerge E3沦为这类攻击的锁定目标。
Linear eMerge E3设备属于硬件类“访问控制系统”,安装在公司总部、工厂或工业园区,主要作用是根据员工和访客的凭证(访问码)或智慧卡控制可进入哪些房门和房间。
2019年5月,从事工业安全服务的网络安全公司Applied Risk研究人员,披露会对NSC Linear eMerge E3设备造成影响的10个漏洞细节。尽管10个漏洞中有6个CVSSv3漏洞严重性评分达9.8或10分(满分10分),但Applied Risk的安全公告指出NSC未能提供任何修补程序。Applied Risk于11月发布了概念验证漏洞攻击码(PoC Exploit Code)。
黑客运用CVE-2019-7256命令植入漏洞持续发动DDoS攻击
上周的报告,SonicWall研究人员表示,黑客正在扫描在互联网曝险的Linear eMerge E3设备,并利用10个漏洞之一攻击。
使用的漏洞是CVE-2019-7256。Applied Risk描述此漏洞为命令植入漏洞,是两个严重性评分达10分的漏洞之一,意味着黑客可借此远程发动漏洞攻击,甚至没有任何高端技术知识的低技能攻击者都可以办到。
“此漏洞能触发的原因,是因为没有对用户提供的PHP函数输入充分清除所致,进而造成黑客可以最高根权限(Root Privilege)执行任意命令,”SonicWall安全警示表示:“未经身份验证的远程攻击者可利用此漏洞,通过精心设计的HTTP请求,在应用程序环境信息执行任意命令。”
黑客运用CVE-2019-7256漏洞接管设备,下载并安装恶意软件后,随即对其他目标发起DDoS攻击。第一次攻击始于今年1月9日,被网络安全公司Bad packages发现,之后攻击持续不断。
“攻击者似乎十分积极攻击这些设备,因为我们每天都看到数以万计的攻击,遍布100多个国家,其中尤以美国遭受攻击最多。”Sonicwall表示。
不过攻击面不是太大。据SonicWall报道,只有2,375台可上网eMerge设备能被Shodan搜索引擎搜到。这个数字远远低于数以百万计的网络安全摄影机和家庭路由器。然而目前为止,少数有安全漏洞的设备仍没有进行任何可阻止攻击者的改善之举,所以漏洞攻击仍会持续上演。
IoT设备当成切入点
除了智慧建筑大门系统沦为黑客用来对Steam或PlayStation网络发动DDoS攻击的帮凶会是个问题,更大的威胁是,这些有漏洞的系统也可用作入侵组织内部网络的切入点。去年8月,微软(Microsoft)报告指出,观察到由俄罗斯政府赞助的黑客组织,将物联网(IoT)智慧设备当成对企业网络发动其他攻击的切入点。
微软表示,俄罗斯黑客试图利用VOIP电话、办公室打印机和视频解码器的漏洞发动攻击,但随着NSC Linear eMerge E3设备去年披露潜藏的10个重大安全性漏洞后,该设备也沦为极具吸引力的黑客攻击目标。有鉴于此,建议管理NSC Linear eMerge E3设备网络的系统管理员,应中断这些系统联网,或至少通过防火墙或VPN限制访问这些设备。
(首图来源:Nortek Security & Control)