Varios desinfectadores de lavavajillas Miele Professional PG 8528. Foto: MieleLa lista de correo Seclists contiene
información de vulnerabilidad inusual
CVE-2017-7240 . Este es un tipo de Recorrido de directorio en un servidor web. Parecería tan extraño? Tales vulnerabilidades se encuentran muy a menudo. Pero aquí estamos hablando de un servidor web ... ¡lavavajillas! En este caso, el agujero se encontró en el modelo industrial
Miele Professional PG 8528 con lavavajillas y desinfectante de lavavajillas con Ethernet incorporado, servidor web y acceso a Internet. Dichos desinfectantes se utilizan en hospitales, laboratorios científicos, etc.
Es necesaria una conexión a Internet para el lavavajillas para que pueda controlarse de forma remota. La administración se realiza a través de un servidor web integrado llamado PST10 WebServer.
Como se indica en la descripción de la vulnerabilidad, el servidor web incorporado escucha en el puerto 80. En realidad, este puerto está conectado y atacado. Un atacante no autenticado tiene la capacidad de conectarse al lavavajillas y extraer contraseñas del servidor web, lo que puede ser útil en ataques posteriores.
La conexión al lavavajillas a través de telnet es la siguiente:
~$ telnet 192.168.0.1 80 Trying 192.168.0.1... Connected to 192.168.0.1. Escape character ist '^]'. GET /../../../../../../../../../../../../etc/shadow HTTP/1.1
El lavavajillas devuelve una respuesta:
HTTP/1.1 200 OK Date: Wed, 16 Nov 2016 11:58:50 GMT Server: PST10 WebServer Content-Type: application/octet-stream Last-Modified: Fri, 22 Feb 2013 10:04:40 GMT Content-disposition: attachment; filename="./etc/shadow" Accept-Ranges: bytes Content-Length: 52 root:$1$$Md0i[...snip...]Z001:10933:0:99999:7:::
Como se puede ver en la respuesta del lavavajillas, devuelve el archivo / etc / shadow. Este es un archivo con
contraseñas ocultas . La contraseña de root también se registra allí.
Las contraseñas ocultas están diseñadas para aumentar la seguridad en los sistemas Unix. El punto es que las contraseñas cifradas se transfieren del archivo / etc / passwd estándar a / etc / shadow, al que solo se puede acceder desde la raíz. Según el formato del archivo de contraseña, cada línea contiene una serie de parámetros. Este es el nombre de usuario (en este caso raíz), luego la contraseña cifrada ($ 1 $$ Md0i [... snip ...] Z001), luego la última vez que se cambió la contraseña (10933), el número mínimo de días hasta que se cambie la contraseña (0), el máximo el número de días antes de cambiar la contraseña (99999), el número de días antes de la primera advertencia sobre el cambio de contraseña (7).
Aunque la contraseña está encriptada, el atacante tiene la capacidad de realizar fuerza bruta en el diccionario con algunas posibilidades de éxito.
Está claro que no es necesario que un atacante ordinario acceda al lavavajillas, este es solo el primer paso para dominar aún más la red informática de la víctima, incluidos otros dispositivos de Internet de las cosas. La contraseña del lavavajillas puede coincidir con las contraseñas de otros servicios, por lo que puede comenzar a desarrollarse una gran estafa desde este electrodoméstico. Además, un atacante podría escribir su código para ejecutarlo en un servidor web.
La vulnerabilidad fue descubierta por el especialista alemán en seguridad Jens Regel, de la empresa consultora Schneider & Wulf EDV-Beratung GmbH & Co. KG. Se puso en contacto con un representante de Miele el 21 de noviembre de 2016 y luego le envió toda la información sobre el error. Luego intentó contactar dos veces para obtener algún tipo de respuesta, pero no fue respondido. Después de más de 4 meses, Jens Regel publicó la información en la lista de correo Seclists, es decir, en el dominio público.
Los lavavajillas Miele Professional PG 8528 no están destinados a la instalación en el hogar, cafeterías, restaurantes o bares. En primer lugar, este es un equipo para hospitales, donde no solo necesita lavar, sino también desinfectar una gran cantidad de tubos de ensayo, placas y otros equipos. A las vulnerabilidades se les asigna un nivel de peligro medio. De hecho, la pérdida de la contraseña de un lavavajillas no amenaza algo críticamente peligroso. Si la máquina se instaló en un restaurante o cafetería, un restaurante cercano podría haber lanzado deliberadamente el lavavajillas durante toda la noche para infligir al competidor el mayor daño económico posible al inflar las facturas de electricidad y agua. ¿Y qué tipo de ataque puede llevarse a cabo en un desinfectante en un hospital? ¿Romper el procedimiento de desinfección con la esperanza de una epidemia viral?
A medida que aumenta el número de dispositivos IoT, se encontrarán cada vez más tales vulnerabilidades. Cuando los fabricantes de electrodomésticos instalan un servidor web, rara vez piensan en problemas de seguridad. Para ellos, lo principal es la facilidad de uso y comercialización. Así que hay refrigeradores con acceso a Internet y tostadoras con WiFi.
En Internet de las cosas, la cantidad de dispositivos puede ser teóricamente un orden de magnitud mayor que en la computadora vieja de Internet. Esta es una extensión real para crear botnets gigantes. Como recordamos, el mayor ataque DDoS del año pasado se organizó precisamente a través de los dispositivos de Internet de las cosas: los decodificadores digitales y las cámaras de video vigilancia
formaron la botnet Mirai .
Se formó una botnet usando un gusano. Infectó dispositivos vulnerables con contraseñas predeterminadas. Ahora los lavavajillas se han unido a la lista de dispositivos vulnerables. ¿Se convertirán también en parte de futuras botnets?