COVID-19的大流行加速了物联网设备的采用,随着复工和就业的需要,很多企业都采用了非接触式物联网设,例如销售点(POS)终端和体温摄像头,以确保业务运营的安全。Palo Alto Networks的研究表明,目前全球89%的IT行业从业者表示,其组织网络中的物联网设备数量在去年有所增加,其中有超过三分之一(35%)的人表示有显著增加。此外,国际数据公司(IDC)估计,到2025年,将有416亿台联网的物联网设备被投入使用。
但是,任何事都有两面性,这种趋势也增加了攻击面,这很可能会吸引更多针对物联网设备和物联网供应链的攻击和利用。本文,Unit 42研究了当前的物联网供应链生态系统,并解释了影响物联网供应链的多层威胁和漏洞。没有任何层级是完整和安全的,另外研究人员还研究了攻击物联网供应链的潜在动机类型。介绍硬件、固件、操作和漏洞层的风险和现实世界的例子,有助于有效地制定风险控制和缓解战略,防止理论上的网络攻击成为现实。
物联网供应链风险
供应链是供应商、制造商或零售商和他们的供应商之间的一系列联系,这种联系使生产和向消费者提供硬件或软件产品或运营服务成为可能。
供应链的全景图
通常,当人们谈论物联网中的供应链攻击时,他们谈论的是将要安装在某个物联网设备(如路由器或摄像头)中的软件,这些设备已被侵入且隐藏恶意软件。然而,物联网中的供应链攻击也可以指通过植入或修改硬件来改变设备的行为。考虑供应链漏洞也很重要,其中第三方软件(如库、驱动程序、内核或硬件组件)安装了漏洞,或者是某些组件(如应用程序或固件)的一部分。
物联网设备组件
在软件开发生命周期和产品设计过程中,一个常见的错误做法是合并第三方软件和硬件组件,而不列出已添加到设备中的组件。因此,当在其中一个组件上发现一个新的漏洞时,比如零日漏洞,就很难知道同一个供应商有多少产品受到了影响,点此查看具体的攻击示例。更糟糕的是,可能很难确定在不同的供应商和制造商之间,通常有多少设备受到这个漏洞的影响。通常,安装在不同设备上的固件使用已知包含漏洞的不推荐的库或组件。尽管如此,该固件仍可用于市场上许多设备的生产中。
从用户的角度来看,很难知道正在购买的物联网设备中有哪些组件在运行。这些组件具有内在的安全属性,这些属性依赖于其他组件,而这些组件又具有它们自己的安全属性。如果这些组件中的任何一个是脆弱的,攻击者可以破坏整个设备。此外,使用物联网设备管理网络的用户并不总是保持连接到该网络的物联网设备数量的库存。因此,跟踪企业网络中存在的潜在易受攻击的设备,将安全和风险管理变成一项艰巨的任务,这会提高网络攻击成功的几率。
物联网供应链攻击示例
1. 硬件组件:伪装成思科交换机
2020年7月,F-Secure分析了在商业环境中发现的假冒Cisco Catalyst 2960-X系列交换机。该设备长时间运行平稳,这使其很难被识别为伪造品。最终,这些设备在软件升级后被发现出现故障,这才导致它们被发现。该分析不仅强调了身份验证控制是如何被绕过的,还强调了潜在的后门访问可能对受影响的公司造成网络安全风险。
2. 固件:OpenWrt设备
OpenWrt是一种开源操作系统,可以替代来自许多网络设备(如路由器、访问点和Wi-Fi中继器)的不同供应商固件中包含的固件。根据OpenWrt项目网页,OpenWrt提供了一个具有包管理功能的可完全写的文件系统。这将使你从供应商提供的应用程序选择和配置中解脱出来,并允许你通过使用包来定制设备以适应任何应用程序。对于开发人员来说,OpenWrt是一个可以用来构建应用程序的框架,而不必围绕它构建完整的固件。对于用户来说,OpenWrt以原始设备不支持的方式提供了对设备的完全定制和使用。
2020年3月,在OpenWrt中发现的一个漏洞允许攻击者模拟downloads.openwrt.org上的下载,并使设备下载恶意更新。这意味着跨不同供应商和模型的多个路由器受到此漏洞的影响。
3. 操作中断:TeamViewer
TeamViewer是一个在任何防火墙和NAT代理的后台用于远程控制,桌面共享和文件传输的简单且快速的解决方案(非开源软件)。为了连接到另一台计算机,只需要在 两台计算机上同时运行 TeamViewer 即可而不需要进行一个安装的过程。该软件第一次启动在两台计算机上自动生成伙伴 ID。只需要输入你的伙伴的 ID 到 TeamViewer,然后就会立即建立起连接。
为了防止操作中断或访问内部业务网络,攻击者多年来一直在关注远程操作软件。我们中的许多人都熟悉远程支持软件,该软件使用户可以从世界任何地方通过互联网共享桌面或管理员控制。 TeamViewer是远程支持软件的最著名示例之一。截至2020年5月,TeamViewer软件在全球200个国家/地区拥有2亿用户。 TeamViewer还用于监视运营技术(OT)环境,包括制造,能源甚至医疗保健。
在此之前,研究人员已经看到黑客通过强行获取账户凭证直接攻击TeamViewer用户,并向EMEA地区的政府机构发送鱼叉式钓鱼邮件(请参阅此CheckPoint报告)。此外,TeamViewer本身在2016年就被APT攻击者盯上了。虽然这些攻击造成的实际损失尚不清楚,但这些事件揭示了那些怀有恶意滥用远程控制软件的人的活动,以及成功的攻击可能带来的影响。
4. 包含漏洞的库: Ripple20
在2020年6月,JSOF宣布了19个零日漏洞,影响了数百万台运行由Treck开发的低级TCP/IP软件库的设备。这组漏洞被命名为“Ripple20”,以反映利用这些漏洞可能对来自不同行业的广泛产品产生的广泛影响。Ripple20影响物联网的关键设备,包括打印机、输液泵和工业控制设备。通过利用软件库的漏洞,攻击者可以远程执行代码并获取敏感信息。Ripple20是一个供应链漏洞,这意味着很难跟踪使用该库的所有设备,从而加剧了这些漏洞的影响。
到目前为止,以下供应商的库存受到了Ripple20的影响:
物联网供应链攻击的动机类型
网络间谍
网络间谍活动的主要目标是在不被发现的情况下保持对机密信息和受影响系统的长期访问,物联网设备的广泛范围、它们的访问权限、用户基数的大小和可信证书的存在,使供应链供应商成为高级持续威胁(advanced persistent threat, APT)集团的诱人目标。2018年,ShadowHammer攻击行为被发现,合法的华硕安全证书(如“华硕电脑公司”)被攻击者和签名木马化软件滥用,误导目标受害者在他们的系统中安装后门,并下载额外的恶意载荷到他们的设备上。2019年3月,卡巴斯基研究人员公开了 ShadowHammer 攻击,攻击者通过入侵华硕自动更新工具的服务器,利用自动更新将恶意后门推送到客户计算机。华硕现在宣布了它释出了自动更新工具 ASUS Live Update 的新版本 3.6.8,加入了多个安全验证机制,防止软件自动更新或其它方式进行的任何恶意操纵,实现了一个端对端加密机制,加强了服务器到终端的软件架构,防止未来类似的攻击再次发生。华硕还发布了一个诊断工具,帮助华硕客户诊断是否感染了恶意后门。
网络犯罪
大量物联网设备的潜在访问和影响也使得物联网供应商和未受保护的设备成为出于经济动机的网络罪犯的流行选择。2019年的一份报告显示,近48%的暗网威胁与物联网有关。同样在2019年,趋势科技的研究人员对俄语、葡萄牙语、英语、阿拉伯语和西班牙语市场的网络罪犯进行了调查,发现了各种非法服务和产品正在利用物联网设备。通常看到的受攻击的物联网设备包括:
- 建立僵尸网络或DDoS服务,以雇佣和向其他地下攻击者收费。
- 出售受感染的设备作为虚拟专用网退出节点。
- 出售摄像头访问来监视某人或出售访问他们的视频。
- 开发和销售针对物联网设备的加密恶意软件。
莫斯科的黑市广告,出售摄像头的使用权
随着医疗保健、制造业、能源和其他OT环境中物联网设备数量的增加,研究人员期望看到网络间谍活动和网络罪犯开发新的方法来利用这些机会。
缓解策略
(1) 实现安全的软件开发生命周期,并考虑第三方库的集成。
(2) 对你自己的代码和从外部源集成的代码进行代码审查和安全性评估。
(3) 避免使用假冒硬件或来源可疑的硬件;
(4) 检讨第三方软件和硬件的设计和开发流程,以及供应商处理漏洞的流程。
(5) 遵循NIST的网络供应链最佳实践:
- 基于你的系统会被攻破的原则来发展你的防御策略;
- 网络安全从来不是一个技术问题,这是一个人、过程和技术的综合问题;
- 物理安全和网络安全应该同等重视;
(6) 保存在IoT/OT设备上使用的硬件和软件组件列表;
总结
维护一个连接到网络的设备列表是非常重要的,它可以识别设备以及这些设备的供应商或制造商,它们利用了一个易受攻击的组件,以便管理员可以对它们进行补丁、监控或在需要时断开连接。此外,如前所述,有时整个易受攻击设备列表是未知的。然而,拥有连接到网络的设备的完整可见性,并在设备生成异常流量时得到通知,这对于保护你的基础设施至关重要。
最后,必须实现安全的软件开发生命周期,并考虑第三方库的集成。美国国家标准与技术协会(National Institute of Standards and Technology)记录了一系列最佳实践,以促进供应链风险管理。
具有物联网安全防护功能的Palo Alto Networks Next-Generation Firewalls采用了不同的方法来进行异常流量检测:
- 设备识别:分析网络行为并从物联网设备中提取各种网络数据点,获取设备标识属性,如供应商、模型、固件版本、操作系统等,这是通过AI / ML支持的身份推断引擎来实现的物联网安全服务的一部分。
- 识别易受攻击的设备:根据MITER和ICS-CERT等机构发布的CVE描述,根据设备识别结果将设备与其相应的漏洞进行匹配。物联网安全服务提供了实时威胁检测引擎,当目标漏洞扫描或恶意利用触发了来自这些设备的响应时,该引擎还可以找到易受攻击的设备。
- 风险评分:每个连接到网络的物联网设备都有一个风险评分,计算出的风险分数是基于一个风险模型,该模型考虑了确认的漏洞、检测到的威胁、行为异常和风险,这些风险是由高风险的用户实践造成的,在MDS2中发布的制造商风险等因素。这是确定需要优先关注的设备和帮助管理员确定其网络中所需的最佳策略的关键因素。
- 警报:根据异常的网络行为,危险的通信,已知的攻击和其他因素,涉及多个过程来发出警报,此功能对于识别实时发生的攻击非常重要。
已识别的Axis摄像机的设备属性
物联网漏洞仪表板页面示例:
识别出易受CVE-2019-1181攻击的设备
识别出易受CVE-2020-11896攻击的设备
本文翻译自:https://unit42.paloaltonetworks.com/iot-supply-chain/