市场前景

注意!多款智能家居Hub存在远程代码执行漏洞

来源:智能家居 日期:2021-05-04

近日,有研究团队在三个不同的家庭集线器– Fibaro Home Center Lite,Homematic中央掌控单元(CCU2)和eLAN-RF-003中找到了许多严重的安全漏洞。这些设备用于监视和掌控欧洲及其他地区数以千计的家庭和公司中的智能家居。这些漏洞的潜在后果包括几乎采访这些受监视系统中的中央和外围设备以及它们包括的敏感数据,未经身份验证的远程代码执行以及中间人(MitM)反击。这些集线器主要用于家庭和小型办公室环境,但它们也为企业关上了潜在的攻击载体。如今,随着越来越多的员工在家工作,这一趋势更加令人担忧。。

我们已将本博文中叙述的发现报告给了各个制造商。事实证明,Fibaro非常合作,可以在几天之内解决问题大多数已报告的问题。eQ‑3遵循标准公开程序,并在标准的90天内对设备进行了修复。Elko已在标准的90天内修复了一些已报告的设备漏洞。其他问题可能已在新一代设备中得到解决,但仍不存在于较旧的设备中,供应商声称不存在硬件和兼容性容许。

本文中描述的问题已报告给供应商,然后他们在2018年针对其中的大多数发行了补丁。由于我们专注于研究仍在活跃的其他漏洞,因此发布已被推迟。尽管如此,鉴于当前对物联网安全性的更高要求,我们将公布此较早于找到的汇总表,以进一步建议受影响设备的所有所有者对其设备应用最新更新,以提升其安全性并增加遭到外部攻击的风险。

0x01 Fibaro Home Center Lite 控制器

图1.由ESET IoT Research团队测试的Fibaro Home Center(HC)Lite

Fibaro Home Center Lite是一款家庭自动化控制器,目的掌控智能家居中的各种外围设备。除其他外,制造商的网站允诺简单的设置和配备,友好的Web界面以及与各种传感器,遥控器,IP摄像机以及风行的家庭助理Google Home和Amazon Alexa的兼容性。

但是,ESET IoT Research团队对设备(固件版本4.170)展开了彻底检查,找到一系列严重漏洞有可能为外部攻击者打开了大门。

我们找到这些缺失的一种组合甚至使攻击者可以创立SSH后门并几乎控制目标设备。

我们找到的其他问题还包括:

·TLS相连更容易受到MitM反击(由于缺乏证书验证),从而使攻击者能够:

·使用命令流经

·通过强行强迫使用存储在设备固件的文件/ etc / shadow中的非常短的硬编码密码来获得root用户访问权限。

·软编码的密码salt(由SQLite数据库使用,用作存储用户名和密码)可以通过Fibaro的Web界面脚本精彩访问,从而使攻击者可以更换用户密码并创立新密码。

·对API的催促外泄了设备的清楚GPS座标,因为它们是作为未加密的HTTP通信的一部分发送的。

漏洞分析

按照设计,通过两个步骤创建的标准SSH隧道可以保护Fibaro Home Center Lite及其云服务器之间的远程管理相连:

1. Fibaro Home Center Lite发送两个单独的TLS加密催促,询问SSH服务器的主机名和侦听端口,如图1所示。

2. 根据返回的信息,Fibaro Home Center Lite通过SSH隧道创立到登录SSH服务器的安全相连。

图2. Fibaro Home Center Lite发送到的TLS加密催促,更容易受到MitM反击。

设备的初始化Shell脚本中负责处置从这些请求返回的数据的完整命令如下:

screen -d -m -S RemoteAccess ssh -y -K 30 -i /etc/dropbear/dropbear_rsa_host_key -R $PORT_Response:localhost:80 remote2@$IP_Response

响应值通过$ IP_Response和$ PORT_Response变量传递给命令。这将容许设备创建SSH隧道,通过该隧道它将HTTP端口80发送到远程SSH服务器上的登录端口。

图3. Fibaro Home Center Lite发送到的TLS加密催促,容易受到MitM反击。

渗透攻击

由于Fibaro Home Center Lite无法在与服务器的某些TLS相连上执行证书检验,从而允许任何攻击者用于其代理服务器签名的伪证书,因此Fibaro Home Center Lite与MitM服务器之间的相连已建立。

更差劲的是,被拦截的TLS催促(目的在设备和合法服务器之间创立SSH隧道)很更容易受到命令流经的攻击。通过使用MitM服务器,攻击者可以使用所需的地址更换原始服务器lb-1.eu.ra.fibaro.com的地址。例如,攻击者可以通过以0 \ nJ \ n / usr / sbin / dropbear $ -p $ 666的形式流经命令来分解蓄意号召,这会导致初始化shell脚本中的相应命令告终,然后关上Fibaro Home Center Lite的SSH后门。

一段时间后,Fibaro Home Center Lite再次催促服务器的IP地址。同样,攻击者可以拦截该请求,并用于以下命令回答:

在Fibaro Home Center Lite上,此号召传递给初始化shell脚本命令,这将创立最初想用作转发端口80的预期SSH隧道。此外,还创建了另一个隧道,攻击者的SSH后门端口通过该隧道被创建,转发。这不会将通信从两个端口(SSH 666,HTTP 80)重新路由到攻击者的MitM服务器。从这一点开始,攻击者可以采访Fibaro Home Center Lite。下一节将讲解如何获取root密码。

减轻措施

ESET研究人员找到的另一个问题是,固件更新是通过HTTPiTunes的,还包括指向固件文件的必要链接。如果攻击者iTunes了该文件并从固件映像中检查了文件/ etc / shadow,他们将寻找软编码的root密码,该密码对所有Fibaro Home Center Lite设备均有效。除了使用已弃用太久的MD5算法对密码进行哈希处置外,该密码也只有几个字符长,因此被强迫用于。

攻击者的另一个自由选择是操控Web界面的用户凭据,该凭据存储在Fibaro Home Center Lite的SQLite数据库中。这些密码是SHA-1散列存储的,散列就是指获取的密码中加到的,再加硬编码字符串,可以很容易地从固件映像文件中的脚本中萃取该密码。使用此salt,攻击者可以在/ mnt / user_data / db的Home Center Lite的SQLite数据库的相应讫中重写现有凭据,从而使合法密码无效。

ESET研究人员向制造商报告了所有这些问题和漏洞,补丁程序于2018年8月发布。修补后的家庭控制器现在可以验证服务器证书并禁令命令注入,易于暴力破解的root密码也已替换为更长,更安全的替代方法。

在编写本文时,唯一只剩的问题是用于创立密码的SHA-1哈希的硬编码salt字符串。

0x02 Homematic CCU2 掌控单元

图4.Homematic中央控制单元(CCU2)

eQ‑3 Homematic CCU2 作为用户智能家居系统的核心元素,“为加装中的所有Homematic设备提供全方位的掌控,监控和配备选项”。根据Shodan的搜寻结果(参见图5),主要在欧洲的家庭和公司中,已经部署了数千个此类家庭中心并可以通过Internet展开采访。

图5. Shodan数据表明了可公开访问的Homematic CCU2设备(2020年4月21日)

在我们的测试中,Homematic CCU2(固件版本2.31.25)表明出相当严重的安全漏洞。最严重的一个是攻击者以root用户身份继续执行未经身份验证的远程代码执行(RCE)的能力。

该漏洞具有严重的安全隐患,使攻击者可以几乎访问Homematic CCU2设备,也可以几乎访问相连的外围设备。这可以通过大量的Shell命令欺诈RCE漏洞来构建。

该漏洞源于通用网关模块(CGI)脚本,该脚本处理Homematic CCU2基于Web的管理界面的注销过程。$ SID的(会话ID)参数没有被正确转义,使攻击者注入恶意代码和运营任意shell命令作为root(管理员)用户。由于吊销脚本没检查它否正在处理当前指定会话的催促,因此攻击者可以无限制地发送到这些催促,而不必指定设备。

图6.RCE问题的代码段。

图7. $ sid值未正确转义的代码段。

可以通过$ sid参数将代码流经非常简单的催促中:

http://device_ip/api/backup/logout.cgi?sid=aa”);system.Exec(“”);system.ClearSessionID(“bb

这造成对代码的以下解释和继续执行:

system.ClearSessionID(“ aa”); system.Exec(“ ”); system.Clear \ SessionID(“ bb”);

使用此工具,攻击者可以创立可以利用的攻击:

1. 设置新的root密码。

2. 落成SSH(如果已禁用)。

3. 启动SSH城主程序。

ESET在2018年初报告了有关未经检验的eQ‑3 RCE漏洞的找到,修补的固件于2018年7月公布。

0x03 eLAN-RF-003 射频系统

该智能射频盒由捷克ELKO EP公司制造。它被设计为智能家居中的中央单元,允许用户掌控各种系统,例如照明,热水温度,暖气,智能锁住,百叶窗,百叶窗,风扇,电源插座等。一切都受到通过加装在客户设备(例如智能手机,智能手表,平板电脑或智能电视)上应用程序的控制。

ESET IoT Research将设备(固件版本2.9.079)与同一制造商的两个外围设备(无线可调光LED灯泡RF-White-LED-675和固定式光插座RFDSC-71)一起进行了测试,如图8右图。

图8.左起:我们测试过的智能射频盒和相关的ELKO设备

测试结果表明,由于许多相当严重漏洞,将设备相连到Internet或什至在局域网上操作都有可能对用户导致危险:

·智能RF盒的Web GUI通信仅使用HTTP协议,缺少HTTPS构建。

·Smart RF盒用于的身份验证不充份,因此需要执行指定即可执行所有命令。该设备也不用于不会话cookie,因此缺少任何机制可以验证用户是否已正确登录。

·Smart RF盒可能被迫泄漏敏感数据,例如密码或配备信息。

·相连到Smart RF盒的外围设备更容易受到记录和纠错攻击。

Web漏洞

我们的测试表明,Web界面仅用于HTTP,而根本没有用于HTTPS的选项,因为该设备没有用作处理协议的代码。这意味着所有用户通信(包括用户名和密码之类的敏感数据)都是通过网络发送的,没加密或任何其他形式的维护。这样,任何需要采访网络(或能够进行MitM流量)的攻击者都可以明码求救信息。

其次,尽管Web服务催促指定的用户名和密码,但它没有提供不会话cookie或其他机制来保证用户准确登录并有权请求设备的资源。

认证跨过

Web界面中的这些问题将我们推向了另一个安全问题领域,即缺少用户身份验证。

智能射频盒用于HTTP GET催促获取信息,并用于HTTP POST或PUT请求执行命令。但是,该设备不需要用户指定或任何其他形式的检验即可用于这些命令。这使攻击者可以捕获,修改或制作自己的数据包,然后让设备执行它们。

这种方法只有一个值得注意,即变更Web界面密码。此命令已得到部分保护,并且仅在满足两个条件时才可以继续执行:管理员已登录,并用于了以前用于登录的IP地址。这种最低限度的维护机制总比没容许要好,但过于强大,避免潜在的滥用。

未经许可的Web界面访问是一个严重的问题,因为它使有权采访本地网络的任何人都可以控制智能RF盒以及随后连接到它的所有设备。由于可能与其他漏洞结合用于,因此尤其令人担忧,这些漏洞使攻击者可以在本地Wi-Fi网络中立足。

脆弱信息外泄

Smart RF盒还构建了HTTP API功能。这样可以通过浏览器精彩采访,但是需要任何身份验证。

为了解释此问题的严重性,我们设计了一种简单的反击方案,即使对于技能较低的攻击者也不切实际:

·通过使用以下HTTP GET请求提供配置文件(包括管理员密码):http:// / api / configuration / data。

·用于所窃取的凭据登录坐落于http:// /的设备GUI 并接管设备。

·另外,攻击者可以用于POST下载配置文件,对其进行修改并将其上传遍设备中。同样,此过程不必须身份验证。

但是,此漏洞为攻击者获取了更多的选择范围。如图9所示,通过用于相同的攻击技术,攻击者需要萃取有关外围设备被管理的智能家居的属性,设备的固件版本等信息。

图9.智能射频盒有可能被迫泄漏各种敏感信息。

重放反击

通过用于其他硬件和软件,攻击者还可以截击从中央单元(eLAN-RF-003)发送到外围设备(在我们的情况下是固定式光的LED灯泡和固定式光的插座)的命令。然后,在置放无线电信号范围内的攻击者的控制下,设备可以精彩地音频记录的数据。这将使攻击者可以掌控外围设备甚至整个智能家居。

使得此漏洞特别相当严重的事实是,与通常受WPA标准维护的反对Wi-Fi的设备相比,没阻止这种记录和纠错反击的维护机制。

为此,攻击者必须将其接收器调整为868.5 MHz无线电频率并记录通信。随后可以将这些存储的数据作为新命令重播到外围设备。

在我们的实验中,无论命令来自eLAN-RF-003盒还是被另一个软件定义的无线电设备重放,外围设备的不道德都相同。在中央单元断开连接或脱机时也可以执行这种攻击。

更糟的是,一些用户已配备其NAT和eLAN-RF-003单元,以用于默认密码通过Internet展开远程访问。这也使易于搜索的设备受到外部反击,并向适当的智能家居敞开大门,减少了恶意接管的风险。

所有这些已记录的漏洞都已报告给供应商,供应商在负责的透露期内公布了部分补丁。但是,报告的两个漏洞(未加密的Web界面通信和不安全的射频(RF)通信)似乎仍未修补-至少对于经过测试的较早版本的设备而言。

除了更改协议的复杂性和固有的硬件兼容性问题外,制造商还指出,eLAN-RF-003无线电通信不容易被缺少技术知识的用户截击,这些用户对ISM频段的通信协议缺乏必要的理解。没错,但是,如果在有价值目标的基础结构中发现与找到的ESET相近的漏洞,则坚定的攻击者(例如专业渗透测试人员或国家不道德者)可以并且将利用它们。

供应商有可能已经解决了ESET尚未测试的较新版本中的其余漏洞。

0x04 分析结论

ESET测试了本地电子商店中流行的或其他有趣的家庭集线器。测试表明,三个IoT中央单元具有多个严重的安全漏洞。一些缺失非常相当严重,攻击者可能会欺诈它们来执行MitM攻击,监听受害者,创立后门或取得对某些设备及其内容的root采访权限。在最坏的情况下,这些问题甚至有可能使攻击者掌控中央单元和与其相连的所有外围设备。

ESET透露的大多数缺失已由这些特定设备的供应商修缮。值得注意的是,Fibaro在首次报告公布后的几天内修复了除一个报告的问题以外的所有问题。Homematic CCU2的制造商eQ‑3在负责任的透露后90天内修复了报告的RCE漏洞。Elko还证明了他们期望保护其设备的意愿。制造商已针对部分已报告的问题公布了补丁,并之后致力于更新的协议。

但是,至少在老一代设备上,似乎还没有解决一些问题。即使有更新,更安全的一代,较旧的一代仍在运营。制造商还争论说道,部分安全责任(关于设备在Internet上的暴露)不应由客户分担。而且,对于功能较旧但功能较旧的设备的用户而言,升级的动机不大,因此必须谨慎,因为它们有可能仍不会曝露在外。

ESET研究的结果以及以往的研究表明,物联网设备中的安全漏洞对于家庭,小型办公环境和企业来说是一个普遍存在的问题[。我们的结果还表明,默认设置,加密或身份验证中的缺失并非低端廉价设备独特,但高端硬件中也经常不存在。

主要区别在于已建立的可靠制造商的反应,沟通,合作以及愿意解决所报告问题的意愿。供应商负责任的漏洞和修复方法不应构成客户在为其未来的智能办公室/智能家居设备自由选择硬件供应商时作出要求的基础。

参照及来源:https://www.welivesecurity.com/2020/04/22/serious-flaws-smart-home-hubs-is-your-device-among-them/

  • 友情链接
  • 合作伙伴