Analytici odhalili zranitelnosti v centrálních jednotkách pro chytré domácnosti

Fibaro Home Center Lite je domácí automatický kontroler. Je navržený ke správě širokého spektra připojených chytrých zařízení. Mimo jiné slibuje výrobce jednoduché nastavení a konfiguraci, user-friendly webové rozhraní, kompatibilitu s velkým množstvím senzorů, zařízení, IP kamer a s asistenty Google Home a Amazon Alexa.

V rámci testování (verze firmware 4.170) našel náš tým vážné zranitelnosti, které mohly otevřít dveře útočníkům. Jedna kombinace chyb dokonce umožnila útočníkovi vytvořit SSH backdoor a následně získat nad zařízením kontrolu.

Dále jsme objevili tyto zranitelnosti:

• TLS připojení bylo náchylné k útokům MitM (kvůli chybějící validaci certifikátu), což útočníkům umožňovalo:

• Injektovat příkaz
• Získat přístup administrátora, a to použitím brute force na krátké heslo uložené v souboru /etc/shadow ve firmware zařízení.

• Pevně nakódovaný salt hesla (využíván v rámci SQlite databáze, která slouží k ukládání uživatelských jmen a hesel) byla snadno přístupná přes webové rozhraní. To umožňovalo útočníkům hesla změnit nebo vytvořit nová.

• Z požadavku směřovaného na meteorologickou API službu zařízení mohl útočník získat přesnou GPS polohu odeslanou prostřednictvím nešifrované http komunikace.

Homematic Central Control Unit (CCU2)

Homematic CCU2 vyrábí firma eQ-3 jako centrální element chytrých domácností. Nabízí celou řadu možností ovládání, monitorování a konfiguraci pro ostatní zařízení Homematic v instalaci. Podle portálu Shodan jsou v Evropě tisíce těchto centrálních jednotek přístupných z internetu.

Homematic CCU2 (verze firmware 2.31.25) vykazoval během našeho testování vážné bezpečnostní slabiny. Nejvážnějším byl fakt, že útočník byl schopen bez autentizace spustit kód na dálku (remote code execution nebo RCE). Tato zranitelnost může mít vážné důsledky: umožní útočníkovi získat plnou kontrolu nad centrální jednotkou a potenciálně i nad připojenými zařízeními. Takovou úroveň kontroly bylo možné získat zneužitím velkého počtu shell příkazů.

Zranitelnost se nacházela v CGI (Common Gateway Interface) skriptu, který řeší odhlašování z webového rozhraní jednotky Homematic CCU2. Vstupy pro parametr session ID ($sid) nebyly kontrolované, což umožňovalo útočníkovi injektovat škodlivý kód a spustit libovolný shell příkaz s root oprávněním (administrátor). Protože odhlašovací skript nekontroloval, že zpracovává požadavek z aktuálně přihlášené relace, útočník mohl vytvořit neomezený počet těchto požadavků, aniž by se musel kdykoli do zařízení přihlásit.

Takto mohl útočník vytvořit exploit, který dokáže:

1. Nastavit nové administrátorské heslo

2. Povolit SSH (pokud bylo vypnuté

3. Spustit SSH daemon

Naše zjištění jsme ohlásili eQ-3 na začátku roku 2018. Odpovídající patch byl vydán v červenci 2018. Celou časovou osu ohlášení chyb a oprav najdete na konci článku.

eLAN-RF-003

Centrální jednotku eLAN-RF-003 vyrábí česká firma ELKO EP. Stejně jako předchozí typy umožní uživateli kontrolovat široké spektrum systémů, jako je osvětlení, ohřev vody, topení, chytré zámky, okenice a další. Vše se ovládá pomocí aplikace, kterou si uživatel nainstaluje na smartphone, chytré hodinky, tablet či chytrou televizi.

Náš tým testoval toto zařízení (verze firmware 2.9.079) spolu se dvěma připojenými zařízeními od stejného výrobce – LED žárovkou RF-White-LED-675 a stmívanou zásuvkou RFDSC-71.

Výsledky testů ukázaly, že připojení zařízení k internetu nebo dokonce jeho provoz v LAN může být pro uživatele potenciálně nebezpečné kvůli řadě kritických zranitelností:

• Komunikace webového grafického rozhraní pro RF-003 používá jen http protokol, implementace HTTPS chybí.
• Jednotka využívá neadekvátní autentizaci, je možné provádět všechny příkazy bez vyžádání přihlášení. Zařízení také nepoužívá session cookies, takže nemá žádné mechanismy pro ověření, zda byl uživatel přihlášený korektně.
• Je možné přinutit jednotku, aby prozradila citlivá data, jako hesla nebo parametry konfigurace.
• Připojená zařízení jsou náchylná k nahrávání a opakování (record and replay) útoků.

Všechny nalezené zranitelnosti jsme ohlásili výrobci, ten vydal částečné záplaty v rámci standardní 90denní lhůty. Dvě z uvedených zranitelností (nešifrovaná komunikace webového rozhraní a nezabezpečená radiová komunikace) se podle dostupných informací jeví jako nezaplátované - minimálně pro námi testovanou starší generaci zařízení.

Výrobce argumentuje náročností změny protokolu a s tím spojenými problémy s kompatibilitou hardware. Dodává také, že odchycení rádiové komunikace není jednoduchá záležitost, na kterou nezkušený uživatel nemá dostatek vědomostí, aby ji nedokázal zreplikovat.

Pokud by se ovšem zranitelnosti podobné těm, které jsme našli v zařízeních my, objevily v rámci infrastruktury cíle zájmu, útočník by je určitě byl schopný zneužít.

Je možné, že uvedené zranitelnosti výrobce v rámci novějších generací produktů opravil. Ty ale nebyly předmětem našeho testování.

Závěr

ESET testoval domácí centrální jednotky dostupné v České republice. Testování ukázala, že tři centrální IoT jednotky obsahují vážné zranitelnosti. Detailnější popisy zranitelností, včetně ukázek nedostatků v kódu, najdete na WeLiveSecurity.com.

Většina odhalených chyb výrobci opravili, nicméně některé chyby se mohou stále v zařízeních, obzvláště ve starších generacích, vyskytovat. Nemalá zodpovědnost tak leží na samotných zákaznících a uživatelích jednotek. Doporučujeme proto u vašich jednotek zkontrolovat aktualizace.

Je zřejmé, že zranitelnosti se mohou objevit i v kvalitních jednotkách od renomovaných výrobců. Od těch laciných se liší především snahou zranitelnosti odstranit. Právě vůle výrobce pracovat i na aktualizacích by měla být zásadním kritériem pro výběr jakéhokoliv chytrého zařízení do domácnosti či firemního provozu.